Assurance cyber : le marché se rééquilibre

Cette 3^e édition de l’étude Lucy (Lumière sur la Cyberassurance) repose sur les portefeuilles de dix courtiers et d’une organisation professionnelle. C’est donc au total 9 672 polices d’assurance et 177 sinistres cyber indemnisés qui ont été analysés.

L’Amrae indique cependant que la contribution au marché de la cyberassurance des petites et micro entreprises étant marginale, l’étude s’est principalement focalisée sur les 1 363 entreprises (grandes, intermédiaires et moyennes) qui représentent 98% des cotisations de 2022.

Attention cependant ! Ce sont les grandes entreprises qui tirent ce ratio vers le bas avec un taux de 16%. Elles ont en effet versé 267 M€ de primes en 2022 pour leur couverture cyber et n’ont connu que 47 sinistres indemnisés (en moyenne à 900 000 €).

Les ETI (entreprises dont le chiffre d’affaires se situe entre 50 M€ et 1,5 Mrd€) ont un ratio sinistres/primes de 51%. Avec une sinistralité contenue, ce marché est de nouveau rentable pour les assureurs. À noter que seulement 10% des ETI sont couvertes par une cyberassurance.

Quant aux entreprises de taille moyenne (dont le chiffre d’affaires se situe entre 10 et 50 M€), elles ont connu un pic de sinistres en 2022 dont le coût a presque doublé en un an. Leur ratio sinistres/primes s’est envolé pour atteindre 100%. « On peut donc s’attendre à voir les assureurs nettoyer leur portefeuille en durcissant les conditions d’accès à l’assurance cyber », en conclut l’étude LuCy. C’est-à dire en durcissant les conditions de souscription et en augmentant les primes et les franchises pour ces entreprises…  C’est ce qu’ils avaient fait pour les grandes entreprises en 2020 et pour les ETI en 2021, qui se trouvaient alors dans une situation comparable. Ils sont ainsi parvenus à des résultats positifs.

L’étude LuCy fait apparaître une baisse de la sinistralité, notamment dans les grandes entreprises et les ETI. Mais cela ne signifie pas que la menace cyber diminue, affirme Mylène Jarossay, présidente du Cesin (Club des experts de la sécurité de l’information et du numérique). « C’est en réalité la défense qui progresse. Les entreprises ont investi pour renforcer leurs capacités », explique-t-elle en marge de l’étude.

Mais elle précise aussi que les PME sont toujours en difficulté. En effet, les investissements à réaliser pour se protéger de la menace cyber « ne peuvent pas être strictement proportionnels à la taille d’une entreprise. Il y a un seuil minimum de moyens de défense en deçà duquel il est risqué de descendre ». C’est ainsi d’ailleurs que seules 3% des PME sont assurées contre le risque cyber.

Même si la tendance est positive, le rapport note que le coût cumulé des attaques de NotPetya en 2017 envers les entreprises Merck, FedEx, Maersk et Saint-Gobain a représenté près de cinq fois l’ensemble des cotisations du marché français perçues par les assureurs en 2022. Autant dire que le risque est toujours présent pour l’assurance. Une augmentation massive des souscriptions permettrait d’absorber de telles attaques.

L’Amrae espère pour cela une simplification des procédures de souscription. Celles-ci devraient être adaptées à la taille des entreprises car « les PME ne sont tout simplement pas outillées pour répondre à un questionnaire de plusieurs dizaines de pages ».