Assurance cyber : le marché se rééquilibre
Si l’on observe une reprise du marché de la cyberassurance dans les grandes entreprises et les ETI, ce n’est pas encore le cas des PME et encore moins des très petites entreprises. C’est le constat que fait l’Amrae qui vient de publier la 3e édition de LuCy, son étude sur la couverture assurantielle du risque cyber en France.
Les données analysées
Cette 3e édition de l’étude Lucy (Lumière sur la Cyberassurance) repose sur les portefeuilles de dix courtiers et d’une organisation professionnelle. C’est donc au total 9 672 polices d’assurance et 177 sinistres cyber indemnisés qui ont été analysés.
L’Amrae indique cependant que la contribution au marché de la cyberassurance des petites et micro entreprises étant marginale, l’étude s’est principalement focalisée sur les 1 363 entreprises (grandes, intermédiaires et moyennes) qui représentent 98% des cotisations de 2022.
Les assureurs retrouvent de l’intérêt pour le risque cyber
Le marché de l’assurance cyber s’est mieux porté en 2022. Le volume global des primes a augmenté de 72% (316 M€) par rapport à l’année précédente (183 M€). Et parallèlement, la sinistralité a baissé de 57% (71 M€ en 2022 contre 164 M€ en 2021).
Ainsi globalement, le ratio sinistres/primes, cher aux assureurs, était de 22% alors qu’il pointait à 89% en 2021 et même à 167% en 2020…
Rappelons que le ratio sinistres/primes est le rapport entre ce que l’assureur verse aux assurés en cas de sinistre et ce qu’il encaisse par les primes d’assurance. Plus ce ratio est faible, mieux c’est pour l’assureur.
Les PME à la peine
Attention cependant ! Ce sont les grandes entreprises qui tirent ce ratio vers le bas avec un taux de 16%. Elles ont en effet versé 267 M€ de primes en 2022 pour leur couverture cyber et n’ont connu que 47 sinistres indemnisés (en moyenne à 900 000 €).
Les ETI (entreprises dont le chiffre d’affaires se situe entre 50 M€ et 1,5 Mrd€) ont un ratio sinistres/primes de 51%. Avec une sinistralité contenue, ce marché est de nouveau rentable pour les assureurs. À noter que seulement 10% des ETI sont couvertes par une cyberassurance.
Quant aux entreprises de taille moyenne (dont le chiffre d’affaires se situe entre 10 et 50 M€), elles ont connu un pic de sinistres en 2022 dont le coût a presque doublé en un an. Leur ratio sinistres/primes s’est envolé pour atteindre 100%. « On peut donc s’attendre à voir les assureurs nettoyer leur portefeuille en durcissant les conditions d’accès à l’assurance cyber », en conclut l’étude LuCy. C’est-à dire en durcissant les conditions de souscription et en augmentant les primes et les franchises pour ces entreprises… C’est ce qu’ils avaient fait pour les grandes entreprises en 2020 et pour les ETI en 2021, qui se trouvaient alors dans une situation comparable. Ils sont ainsi parvenus à des résultats positifs.
La menace cyber n’a pas baissé
L’étude LuCy fait apparaître une baisse de la sinistralité, notamment dans les grandes entreprises et les ETI. Mais cela ne signifie pas que la menace cyber diminue, affirme Mylène Jarossay, présidente du Cesin (Club des experts de la sécurité de l’information et du numérique). « C’est en réalité la défense qui progresse. Les entreprises ont investi pour renforcer leurs capacités », explique-t-elle en marge de l’étude.
Mais elle précise aussi que les PME sont toujours en difficulté. En effet, les investissements à réaliser pour se protéger de la menace cyber « ne peuvent pas être strictement proportionnels à la taille d’une entreprise. Il y a un seuil minimum de moyens de défense en deçà duquel il est risqué de descendre ». C’est ainsi d’ailleurs que seules 3% des PME sont assurées contre le risque cyber.
Un risque volatil
Même si la tendance est positive, le rapport note que le coût cumulé des attaques de NotPetya en 2017 envers les entreprises Merck, FedEx, Maersk et Saint-Gobain a représenté près de cinq fois l’ensemble des cotisations du marché français perçues par les assureurs en 2022. Autant dire que le risque est toujours présent pour l’assurance. Une augmentation massive des souscriptions permettrait d’absorber de telles attaques.
L’Amrae espère pour cela une simplification des procédures de souscription. Celles-ci devraient être adaptées à la taille des entreprises car « les PME ne sont tout simplement pas outillées pour répondre à un questionnaire de plusieurs dizaines de pages ».
Martine Porez – Journaliste
Les plus lus…
Dans quelles conditions, un lieu de travail n’est-il pas soumis à l’obligation de disposer de places de stationnement aménagées…
Communiqué commun de l'Afrata (Association française de téléassistance), de la FAS (Fédération des ascenseurs), du GPMSE (Groupement des Métiers…
Redoutées par tous, les défaillances de la sécurité privée ne se sont pas produites durant les Jeux olympiques. Bien…
La Dreal Normandie (Direction régionale de l'environnement, de l'aménagement et du logement) a adressé deux mises en demeure le…
La biométrie, l'IA (intelligence artificielle) ou encore le cloud computing seront les technologies émergentes les plus demandées par les…
Les attaques de phishing ont atteint un niveau de sophistication sans précédent en 2024, marquant une nouvelle ère dans…