Retour d'expérience : un risque cyber encore mal assuré et mal compris

Alors que les risques augmentent en matière de cyber-sécurité, une récente enquête menée en France auprès des entreprises vient de révéler que les plus grandes entreprises ont tendance à se détourner de ce produit, quand les assureurs peinent à trouver un modèle économique viable pour ce type d'offres. Une situation qui illustre un manque d'adéquation entre les risques et les propositions de couvertures, dans un contexte en forte et rapide évolution.

LES FAITS

• L’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) vient de publier la deuxième édition de son étude LUCY (LUmière sur la CYberassurance) sur la couverture assurantielle du risque cyber en France.

• Le taux de couverture des grandes entreprises en assurance cyber a reculé de 4,4 % entre 2020 et 2021. Cette baisse fait suite à la défection de 11 grandes entreprises couvertes en 2020 (sur les 251 grandes entreprises qui avaient souscrit une garantie cyber en 2020) et qui ont souhaité trouver d'autres solutions de protection pour 2021.

• 82 % du volume de versements des primes au titre de la garantie cyber sont néanmoins toujours attribués aux grandes entreprises à ce jour. Et le volume total de primes versées par l'ensemble des entreprises a augmenté de 44,4 %. 

• La sinistralité du marché est en baisse pour les grandes entreprises mais connait une forte hausse pour les entreprises de taille intermédiaire. Reste que l'AMRAE souligne que 4 grandes entreprises ont subi un sinistre majeur, coûtant plus de 10 millions d'euros chacun en 2021, ce qui a fortement accru le coût de la sinistralité au global.

ENJEUX

• Un cercle vicieux : L'année 2020 avait été particulièrement difficile en matière de risques cyber et s'était révélée fortement déficitaire pour les assureurs du marché ; désorganisées par la pandémie, les entreprises sont devenues des cibles de choix ; En 2021, c'est 1 entreprise sur 2 qui aurait subi une cyber-attaque. En réponse à cette situation, les acteurs du secteur ont durci leurs conditions de souscription, engendrant un doublement des primes pour les grandes entreprises et une hausse des franchises, passées à près de 4 millions d'euros en moyenne en 2021.

• Un retour à la rentabilité en demi-teinte : L'AMRAE souligne le retour à la rentabilité du marché de l'assurance cyber, avec un ratio Sinistres / Primes technique de 88 % pour l’ensemble des entreprises. Mais la défection de nombreuses grandes entreprises qui portaient le marché représente un risque pour sa pérennité. Et dans ce contexte, le renouvellement des entreprises de taille intermédiaire pose désormais question pour l'année prochaine. Un plus grand nombre de souscriptions de la part d'ETI et PME permettrait en effet de stabiliser le marché.

• Un risque d'avenir : Le risque cyber représente le second risque du classement des risques émergents établi par le « Future Risk Report » d’AXA, juste après les risques liés au changement climatique.

MISE EN PERSPECTIVE

• Le nombre de cyberattaques, ainsi que le coût de leurs impacts, restent difficilement prévisibles pour les professionnels de l'assurance. L'AMRAE souligne justement le fait que les chiffres ne sont pas linéaires depuis plusieurs années et que la situation varie fortement. 

• Les cyberattaques par rançongiciels, capables de paralyser les entreprises, sont néanmoins en très forte hausse. Elles ont ainsi fait l'objet de 397 saisines au parquet de Paris en 2020, soit une hausse de 543 % par rapport à 2019. 

• L'ANSSI estime par ailleurs que plus de 1 000 intrusions critiques ont été constatées dans les réseaux informatiques français en 2021. Les menaces informatiques ne cessent donc de s'accroître.