Le cyberrisque n’est plus un simple aléa technique parmi d’autres. C’est désormais un danger systémique, capable de frapper simultanément plusieurs entreprises ou infrastructures, et dont la rapidité d’évolution défie les capacités de prévention et les mécanismes d’assurabilité. «C’est le constat sans appel dressé lors du panel consacré à la cybersécurité au Rendez-vous de Casablanca de l’assurance», rapporte le magazine Finances News Hebdo.
Robert Gordon, vice-président principal chargé de la Politique, de la Recherche et des Affaires internationales à l’APCIA, a ouvert les débats en rappelant que «le cyber est devenu un risque intrinsèquement systémique», en raison de la dépendance croissante aux plateformes cloud partagées et à l’interopérabilité numérique. «Cette interconnexion crée une vulnérabilité collective, où une faille chez un acteur peut se propager à l’ensemble d’un écosystème», a-t-il expliqué. Pourtant, il a nuancé l’idée d’une menace existentielle pour le secteur de l’assurance, soulignant que les assureurs américains ont renforcé leurs standards de souscription ces dernières années.
«Aux États-Unis, les exigences en matière de cybersécurité sont devenues un préalable à toute couverture», a-t-il précisé. Ce durcissement a porté ses fruits Malgré un environnement plus exposé, les pertes ont diminué, grâce à une meilleure résilience des assurés.
Citée par Finances News, Ghizlane Benbrahim, directrice Business Development du marché marocain et Innovation produits chez Atlantic Re, a insisté sur la dimension multidimensionnelle de l’assurance cyber. «Il ne s’agit plus seulement de couvrir des pertes financières. Notre approche repose sur trois piliers : la couverture des dommages, la prévention et la gestion de crise», explique-t-elle.
Avant même la souscription, Atlantic Re impose des exigences minimales en matière de sécurité et formule des recommandations pour renforcer la protection des entreprises. «L’assureur ne se contente pas d’intervenir après un sinistre: il accompagne l’assuré dans l’évaluation de sa posture de sécurité et dans la réaction opérationnelle en cas d’attaque», a-ajouté Benbrahim.
Un point clé de son intervention a porté sur l’élargissement de l’accès à cette couverture. «Nous avons travaillé pendant un an sur une solution adaptée à l’ensemble du tissu économique marocain, et pas seulement aux grandes entreprises», a-t-elle indiqué. L’objectif est de simplifier et digitaliser le processus pour toucher les PME et TPE, tout en respectant le cadre législatif local. Elle a rappelé que ces structures, souvent perçues comme moins exposées, détiennent pourtant des données sensibles et sont particulièrement vulnérables en cas d’interruption d’activité.
Arnaud Kremer, directeur de ChapsVision Africa, a apporté une dimension concrète au débat en s’appuyant sur des cas réels de gestion de crise. «Le dénominateur commun de toutes ces attaques, c’est l’humain», a-t-il souligné. Il a cité l’exemple d’une escroquerie au président ayant entraîné un virement frauduleux de 450 000 euros et provoqué un drame humain au sein de l’entreprise visée. «Dans ce type de fraude, c’est la faille humaine qui est exploitée, pas une vulnérabilité technique», a-t-il précisé.
Il a également évoqué le cas d’un transporteur européen paralysé par une demande de rançon en bitcoins, sans aucune préparation ni capacité de réaction. «Ces exemples montrent que la gestion de crise ne s’improvise pas», a-t-il insisté. En effet, un bon manager au quotidien n’est pas forcément un bon gestionnaire de crise. Pour Kremer, la solution passe par une préparation en amont en formant les collaborateurs, en structurant les procédures et en testant régulièrement les dispositifs. Pendant la crise, l’assureur doit jouer un rôle central en mobilisant des experts techniques et en coordonnant les réponses. «Et après la crise, il faut capitaliser sur le retour d’expérience pour améliorer les dispositifs», a-t-il ajouté.
Karim Hamlat, souscripteur traité cyber pour la région EMEA chez SCOR, a rappelé que l’assurance cyber reste un produit jeune, apparu dans les années 2000 aux États-Unis avant de se développer en Europe et, plus récemment, en Afrique. «Cette jeunesse explique en partie les difficultés rencontrées en matière de modélisation, de standardisation contractuelle et de diffusion large du produit», a-t-il expliqué.
Au niveau de la réassurance, il a identifié trois défis majeurs. Le premier est la dimension systémique du cyber, illustrée par des attaques de grande ampleur comme NotPetya ou par la dépendance croissante aux grands fournisseurs de cloud. «Une faille chez un acteur majeur peut avoir des répercussions en cascade», a-t-il averti.
Le deuxième défi concerne une sinistralité en constante évolution, marquée par des attaques plus sophistiquées, comme le «double rançonnage» (chiffrement des données + exfiltration) ou les vulnérabilités de la «supply chain». «Les cybercriminels innovent sans cesse, et les assureurs doivent s’adapter», a-t-il souligné.
Enfin, il a plaidé pour des produits plus accessibles, avec des questionnaires de souscription simplifiés et des garanties mieux définies. «Il faut clarifier les exclusions et rendre ces contrats compréhensibles pour les PME», a-t-il insisté. Malgré ces défis, il a noté une progression significative du marché mondial de la cyberassurance, passé de 6,5 milliards de dollars à plus de 16 milliards en 2025, grâce à une meilleure collecte de données et à des modèles plus robustes.
