Assurance cyber : le marché se rééquilibre
Si l’on observe une reprise du marché de la cyberassurance dans les grandes entreprises et les ETI, ce n’est pas encore le cas des PME et encore moins des très petites entreprises. C’est le constat que fait l’Amrae qui vient de publier la 3e édition de LuCy, son étude sur la couverture assurantielle du risque cyber en France.
Les données analysées
Cette 3e édition de l’étude Lucy (Lumière sur la Cyberassurance) repose sur les portefeuilles de dix courtiers et d’une organisation professionnelle. C’est donc au total 9 672 polices d’assurance et 177 sinistres cyber indemnisés qui ont été analysés.
L’Amrae indique cependant que la contribution au marché de la cyberassurance des petites et micro entreprises étant marginale, l’étude s’est principalement focalisée sur les 1 363 entreprises (grandes, intermédiaires et moyennes) qui représentent 98% des cotisations de 2022.
Les assureurs retrouvent de l’intérêt pour le risque cyber
Le marché de l’assurance cyber s’est mieux porté en 2022. Le volume global des primes a augmenté de 72% (316 M€) par rapport à l’année précédente (183 M€). Et parallèlement, la sinistralité a baissé de 57% (71 M€ en 2022 contre 164 M€ en 2021).
Ainsi globalement, le ratio sinistres/primes, cher aux assureurs, était de 22% alors qu’il pointait à 89% en 2021 et même à 167% en 2020…
Rappelons que le ratio sinistres/primes est le rapport entre ce que l’assureur verse aux assurés en cas de sinistre et ce qu’il encaisse par les primes d’assurance. Plus ce ratio est faible, mieux c’est pour l’assureur.
Les PME à la peine
Attention cependant ! Ce sont les grandes entreprises qui tirent ce ratio vers le bas avec un taux de 16%. Elles ont en effet versé 267 M€ de primes en 2022 pour leur couverture cyber et n’ont connu que 47 sinistres indemnisés (en moyenne à 900 000 €).
Les ETI (entreprises dont le chiffre d’affaires se situe entre 50 M€ et 1,5 Mrd€) ont un ratio sinistres/primes de 51%. Avec une sinistralité contenue, ce marché est de nouveau rentable pour les assureurs. À noter que seulement 10% des ETI sont couvertes par une cyberassurance.
Quant aux entreprises de taille moyenne (dont le chiffre d’affaires se situe entre 10 et 50 M€), elles ont connu un pic de sinistres en 2022 dont le coût a presque doublé en un an. Leur ratio sinistres/primes s’est envolé pour atteindre 100%. « On peut donc s’attendre à voir les assureurs nettoyer leur portefeuille en durcissant les conditions d’accès à l’assurance cyber », en conclut l’étude LuCy. C’est-à dire en durcissant les conditions de souscription et en augmentant les primes et les franchises pour ces entreprises… C’est ce qu’ils avaient fait pour les grandes entreprises en 2020 et pour les ETI en 2021, qui se trouvaient alors dans une situation comparable. Ils sont ainsi parvenus à des résultats positifs.
La menace cyber n’a pas baissé
L’étude LuCy fait apparaître une baisse de la sinistralité, notamment dans les grandes entreprises et les ETI. Mais cela ne signifie pas que la menace cyber diminue, affirme Mylène Jarossay, présidente du Cesin (Club des experts de la sécurité de l’information et du numérique). « C’est en réalité la défense qui progresse. Les entreprises ont investi pour renforcer leurs capacités », explique-t-elle en marge de l’étude.
Mais elle précise aussi que les PME sont toujours en difficulté. En effet, les investissements à réaliser pour se protéger de la menace cyber « ne peuvent pas être strictement proportionnels à la taille d’une entreprise. Il y a un seuil minimum de moyens de défense en deçà duquel il est risqué de descendre ». C’est ainsi d’ailleurs que seules 3% des PME sont assurées contre le risque cyber.
Un risque volatil
Même si la tendance est positive, le rapport note que le coût cumulé des attaques de NotPetya en 2017 envers les entreprises Merck, FedEx, Maersk et Saint-Gobain a représenté près de cinq fois l’ensemble des cotisations du marché français perçues par les assureurs en 2022. Autant dire que le risque est toujours présent pour l’assurance. Une augmentation massive des souscriptions permettrait d’absorber de telles attaques.
L’Amrae espère pour cela une simplification des procédures de souscription. Celles-ci devraient être adaptées à la taille des entreprises car « les PME ne sont tout simplement pas outillées pour répondre à un questionnaire de plusieurs dizaines de pages ».
Martine Porez – Journaliste
Les plus lus…
Le développement des mobilités électriques, notamment les vélos, trottinettes et voitures, fait peser un risque nouveau tant chez les…
La directive (UE) 2024/2831 du Parlement européen et du Conseil du 23 octobre 2024, relative à l’amélioration des conditions…
D’avis unanime, les JOP 2024 ont été une réussite sur le plan sécuritaire. Durant cet événement inédit, trois projets…
L'arrêté du 31 octobre 2024 relatif à l'analyse des substances per- et polyfluoroalkylées dans les émissions atmosphériques des installations…
Selon un rapport de février 2024 de l’Inspection générale de la police nationale (IGPN), de l’Inspection générale de l’administration…
Le Cesin (Club des experts de la sécurité de l'information et du numérique) appelle à une transposition stratégique et…