Dérèglement climatique, cyberattaques, tensions géopolitiques… À l’ère de la polycrise, les assurances sont sur le devant de la scène. Dans cette époque turbulente, comment préserver les piliers d’un modèle assurantiel qui joue un rôle social structurant ?
« Un monde à +4 °C n’est pas assurable. » Cette déclaration d’Henri de Castries, à la veille de la COP21 de 2015, avait fait grand bruit. Alors PDG d’AXA, le dirigeant pointait une menace sourde, le spectre de l’inassurabilité face aux risques systémiques – et en premier lieu celui du dérèglement climatique. Huit ans plus tard, en février 2023, au micro de France info, le ministre de la Transition écologique et de la Cohésion des territoires Christophe Béchu appelait à « sortir du déni » et à « préparer notre pays à +4°C » [de réchauffement climatique].
Ce fast forward résume les enjeux et dilemmes de l’assurance moderne. Comment préserver notre modèle assurantiel ? Dans une société toujours plus numérisée, pourra-t-on protéger les principes de solidarité et de mutualisation ? Est-il possible d’anticiper et de réduire notre exposition à des évènements dont le dimensionnement et la récurrence ne cessent d’augmenter ? Et il ne s’agit pas de préparer demain : en juin 2023, State Farm et Allstate, deux grandes compagnies d’assurances américaines, annonçaient qu’elles refusaient de prendre de nouveaux clients habitation en Californie. Dit autrement, la Californie est devenue inassurable. Trop de feux de forêt. Trop d’inondations.
Explosion du cyberrisque
Au printemps 2022, le Conseil économique, social et environnemental (CESE) s’est emparé de la question. Dans l’avis « Climat, cyber, pandémie : le modèle assurantiel français au défi des risques systémiques », l’instance fait le constat d’une société toujours plus vulnérable. En cause ? Mondialisation, dérèglement climatique et digitalisation, dont les effets s’accroissent et s’interconnectent. Prenons l’exemple de la pandémie : outre ses conséquences sanitaires, le Covid-19 a lourdement grevé les entreprises, avec 180 milliards d’euros de pertes d’exploitation estimées sur la période.
Mais l’épisode a aussi accéléré la numérisation des organisations. Une mutation qui s’est accompagnée de l’explosion du cyberrisque, qui n’était pourtant pas marginal avant : en 2019, 90 % des ETI et des PMI françaises avaient déjà été touchées par une attaque malveillante. En 2020, les attaques par ransomware ont augmenté de 255 %. Et en 2022, 45 % des répondants du baromètre du Club des experts de la sécurité de l'information et du numérique (CESIN) signalent au moins une cyberattaque « réussie » (c’est-à-dire ayant entraîné des pertes financières et/ou réputationnelles significatives). Enfin, la géopolitique, avec l’invasion de l’Ukraine par la Russie, charrie avec elle sa somme de cybermenaces, cherchant à déstabiliser le camp ennemi dans un monde toujours plus polarisé.
Et de fait, en 2023, les professionnels français de l’assurance placent encore le cyberrisque en tête des menaces, en matière de probabilité d'occurrence et d’impact à moyen terme, suivi par le dérèglement climatique et l’environnement économique dégradé. Réalisée par la fédération professionnelle France Assureurs, la cartographie prospective des risques recueille l’appréciation des risques par des dirigeants représentant 97 % des placements du secteur. Un exercice équivalent, mais à l’échelle du globe, peut se trouver du côté du « Future Risks Report 2023 », réalisé par AXA, Ipsos et Eurasia groupe. Pour celui-ci, la vulnérabilité au cyberrisque monte au deuxième rang des préoccupations des experts, derrière le risque climatique, et devant le risque géopolitique.
La cybercriminalité, troisième économie mondiale
Si les cyberrisques intègrent une « nouvelle normalité », selon AXA, l’assureur français rappelle que nous n’avons pas encore eu à essuyer une cyberattaque à grande échelle, paralysant nos centres vitaux : santé, énergie, systèmes de paiement… Près de 90 % des experts jugent le risque d’une cyberattaque massive important, dans leur pays ou à l’échelle mondiale. La paralysie des services essentiels et des infrastructures critiques constitue leur inquiétude n°1. Une crainte partagée par Mario Greco, interviewé fin 2022 par le Financial Times. Le directeur général de Zurich Insurance considère que le cyberrisque pourrait bien, avant les catastrophes naturelles et/ou les conséquences du dérèglement climatique, devenir inassurable : « Si quelqu’un prend le contrôle de parties vitales de nos infrastructures, quelles seront les conséquences ? Nous devons comprendre qu’il ne s’agit pas seulement de données, mais de civilisation. Ces gens peuvent vraiment disrupter nos vies. »
Et l’on ne peut s’empêcher de penser aux hôpitaux, touchés de plein fouet par une véritable série noire en la matière. Des systèmes informatiques vieillissants, d’insuffisants moyens financiers et humains, le manque d’acculturation digitale…, alliés à l’accélération technologique des processus et pratiques, font des établissements de santé des cibles de premier choix. Sans parler du caractère sensible – et donc « bankable » – des données de santé : selon le cabinet Sopra Steria, d’après des données IBM, un dossier médical peut valoir jusqu’à 350 dollars sur le Dark Web, 50 fois plus qu’un dossier bancaire ! Mais d’autres types d’infrastructures critiques sont dans le viseur des hackeurs : collectivités, ministères, institutions, équipements… En mai 2021, le plus grand oléoduc d’essence des États-Unis a été ciblé par un ransomware, obligeant son opérateur à interrompre ses activités.
Selon le sénateur Rémi Cardon, auteur d’un rapport sur le cyberrisque, si la cybercriminalité était une économie, elle serait troisième au niveau mondial, derrière les États-Unis et la Chine, avec 6 000 milliards d’euros – estimation qui a doublé depuis 2015. Le risque est devenu tel que le législateur a fait évoluer les textes en conséquence : la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), consacrée aux enjeux numériques et adoptée en 2023, donne un cadre juridique à l’assurance du cyberrisque, conditionnant notamment le remboursement d’une rançon au dépôt d’une plainte – ce qui introduit un autre débat chez les experts : faut-il céder ou pas au chantage ? Du côté des entreprises aussi, l’heure est à la structuration : plusieurs multinationales européennes, parmi lesquelles Airbus, Michelin, Veolia, Solvay ou Adeo (Leroy Merlin) se sont constituées en mutuelle pour couvrir leurs risques numériques, via une structure commune nommée Miris.
Renforcer les partenariats public-privé et verdir l’économie
Sur le front du dérèglement climatique, l’inquiétude des professionnels ne décroît pas. Pour France Assureurs, elle s’installe même de façon structurelle, au deuxième rang de leurs préoccupations. Un constat logique, après les extrêmes climatiques de 2022, qui ont porté la facture des catastrophes naturelles à plus de 10 milliards d’euros en France. Et ce n’est pas fini… La sécheresse met à risque une maison individuelle sur deux en France, à cause des mouvements de sols argileux. À l’échelle du globe, pour la première fois, le risque climatique arrive en tête du classement, pour toutes les régions du monde – en 2021, seule l’Europe lui accordait la première place.
Et tandis que la transition vers une économie bas carbone s’accompagne de ses propres risques, notamment économiques, ce mouvement pourtant indispensable est rendu plus complexe encore par les risques géopolitiques et énergétiques. Ces derniers sont montés en flèche dans le « Future Risks Report », qui insiste sur la nécessité d’une approche holistique, mais aussi de partenariats public-privé (PPP) plus étroits, selon les experts interrogés. Des PPP que la France pratique déjà avec le régime catastrophes naturelles (le fameux CatNat, lui aussi amené à évoluer face à l’accélération des sinistres, avec une mission lancée par le gouvernement en mai dernier) ou la récente assurance récolte, et qu’elle pourrait encore approfondir. On parle notamment de la cybersécurité – encore une fois.
Mais, outre son rôle de prévention et de protection, l’assurance est aussi un financeur indispensable de l’économie. À la fin de 2021, les assureurs français cumulaient plus de 2 700 milliards d’euros de placements, dont 62 % dans des actifs d’entreprises et 111 milliards investis dans les PME/ETI. Autant dire que le secteur est un levier incontournable pour la transition vers une économie résiliente et durable. C’est à ce titre que le CESE engage le secteur à aller plus loin, avec « une politique de gestion d’actifs qui d’une part se désengage massivement des secteurs émetteurs de carbone, (...) et d’autre part priorise les investissements qui favorisent l’accélération de la transition énergétique et écologique (...) ».
Changement de paradigme et culture du risque
Deux préconisations parmi les 19 proposées dans l’avis du CESE. Car, pour la troisième assemblée de la République, la pérennité d’un système assurantiel accessible et protecteur pour tous reposera sur trois piliers, recouvrant toute la chaîne du risque : la connaissance, la prévention et l’indemnisation. Mais, entre autres mesures « techniques » destinées à renforcer la soutenabilité financière du système, c’est aussi à une forme de révolution culturelle que le CESE appelle : « un changement de paradigme » piloté par « l’État-stratège », via la création d’une autorité politique de plein pouvoir, chargée de la prévention et de la gestion des risques majeurs. Une nouvelle culture du risque à acquérir à l’échelle de la société, avec une attention particulière portée à la cybersécurité ou au risk management, dans laquelle la filière aura un rôle majeur à jouer.
Autre enjeu, celui consistant à mieux partager le risque, par exemple en créant une offre socle sur le cyberrisque à destination des TPE/PME, ou en favorisant l’accès à un premier niveau d’assurances pour tous, pour éviter que certains choisissent de ne plus s’assurer, avec de réels risques économiques et sociaux, comme c’est le cas en Outre-mer, où l’on enregistre une faible couverture, alors même que le risque climatique s’accroît. Au moment où les tensions s’exacerbent et la vulnérabilité ressentie par la population augmente, la mission de l’assurance sera aussi celle-ci : faire vivre et perdurer dans une société en mutation une certaine idée de la solidarité au service de l’avenir.
