Cyber-assurance : un marché assagi mais pas encore mature
Par Bertrand Lemaire | Le | Gouvernance
L’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) vient de publier la quatrième édition de son étude annuelle LuCy (Lumière sur la Cyber-assurance) qui révèle un marché encore immature.
Le marché de la cyber-assurance est un sujet d’inquiétude pour les RSSI depuis plusieurs années. Un cyber-désastre ne peut jamais être exclu et, dès lors, le recours à une prise en charge assurantielle reste une solution financière pour éviter une disparition de l’entreprise. Mais le marché de la cyber-assurance est loin d’avoir atteint la maturité d’autres marchés assurantiels. La quatrième édition de l’étude annuelle de l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise), l’association professionnelle des gestionnaires de risques, baptisée LuCy (Lumière sur la Cyber-assurance), vient de paraître. Cette étude montre, certes, des signes positifs pour les entreprises couvertes mais le marché demeure très immature et, par conséquent, un retournement brutal ne peut pas être exclu surtout si, par exemple à l’occasion des Jeux Olympiques Paris 2024, des cyber-sinistres importants devaient avoir lieu.
Comme tous les ans, LuCy 2024 a été réalisée sous le pilotage de Philippe Cotelle, administrateur de l’AMRAE et président de sa commission Cyber. Celui-ci sera d’ailleurs le Grand Témoin du Club « De l’analyse de risque au cyber-rating : mesurer la cyber-fragilité » mercredi 5 juin 2024. Le Cyber-Rating est en effet un problème connexe à celui de la cyber-assurance puisqu’il s’agit pour les assureurs d’un outil de mesure du risque et donc de l’assurabilité d’une entreprise. Même si cet outil est très critiqué, notamment par le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), le club des RSSI…
Le travail des RSSI a été payant
En termes de primes versées et donc de valeur globale des contrats d’assurance, le marché de la cyber-assurance est pratiquement stable avec 328 millions d’euros contre 316 millions en 2022. Par contre, l’évolution avait été forte les années précédentes (183 millions en 2021 par exemple). Les grandes entreprises constituent encore la plus grosse part du marché (263 millions, en légère baisse de 1 %) tandis que les primes versées par des entreprises plus petites continue de progresser nettement (ETI : +27 % avec 48,3 millions d’euros ; PME : +73 % pour seulement 7,7 millions d’euros ; solde pour les entreprises plus petites). Le taux de couverture progresse de 47 % pour les ETI et de 194 % pour les PME (mais atteint péniblement 15 %) tandis que le nombre de grandes entreprises dotées d’un contrat de cyber-assurance reste stable à 280. Globalement, les grands comptes souscrivent à budget constant d’une année sur l’autre mais voient l’ampleur de leur couverture progresser.
La cyberguerre, un risque particulier
Les faits de guerre ne sont en principe pas assurables. Or un « fait de guerre » n’est pas nécessairement un bombardement. Il peut aussi s’agir d’une cyber-attaque orchestrée par un état hostile. Dans la plupart des pays du monde, la charge de la preuve qu’une cyber-attaque est un acte de guerre repose sur l’assureur. Mais, en France, la charge de la preuve qu’une cyber-attaque n’est pas un acte de cyber-guerre repose sur l’assuré. Ce point inquiète les membres de l’AMRAE, surtout à l’approche des Jeux Olympiques tandis qu’il y a deux crises géopolitiques majeures (Russie/Ukraine, Israel/Palestine).
Les grands assureurs transnationaux sont habitués à gérer la charge de la preuve et, selon l’AMRAE, ne s’opposent pas à une évolution de la législation. Mais il s’agit typiquement d’un point législatif très technique qui a une faible résonance politique, ce qui induit une difficulté à l’inclure dans l’agenda parlementaire, même avec un certain consensus des acteurs.
Si le marché des grands comptes se stabilise, c’est aussi parce que, côté crises, aucune grande organisation n’a subi de crise majeure et aucun sinistre d’une valeur supérieure à dix millions d’euros n’a été enregistré en 2023 comme l’a souligné Philippe Cotelle. A l’inverse, l’année 2020 avait enregistré quatre très gros sinistres ayant déstabilisé le marché. Les montants cumulés des sinistres déclarés et indemnisés ont baissé fortement en 2023 : -46 % en global, -45 % pour les grandes entreprises, -48 % pour les ETI et -68 % pour les PME. L’AMRAE note tout de même une légère augmentation des franchises. Pour qu’il y ait une baisse des montants d’indemnisation, il peut s’agir d’une baisse des sinistres ou d’une baisse des couvertures mais la couverture reste globalement stable. Le CESIN annonce de son côté une stabilité des cyber-attaques réussies mais indique que les entreprises réagissent de manière plus efficace donc avec un sinistre effectif moindre (par exemple, le SI peut être reconstruit plus rapidement). Philippe Cotelle insiste sur le caractère de moyenne des chiffres donnés : il existe d’importantes disparités entre contrats et entre comptes.
Un marché encore immature
Pour le président de la commission Cyber de l’AMRAE, le marché a beau s’être apparemment stabilisé avec une certaine sobriété tarifaire, il est inadéquat de le considérer comme entré en maturité. Certes, le dialogue entreprises clientes / assureurs est, lui, devenu plus mature et rationnel. Mais le marché repose encore trop sur un petit nombre de gros souscripteurs. Un cyber-désastre frappant l’un ou l’autre peut par conséquent totalement déstabiliser le marché. L’AMRAE se réjouit donc que les courtiers fassent un réel effort commercial en direction des PME afin d’accroître la base de clientèle. Le principe même de l’assurance est celui d’une mutualisation du risque : un marché assurantiel ne peut donc pas être stable si la mutualisation est trop restreinte, rendant un incident isolé dévastateur pour l’ensemble du marché.
Comme les cyber-risques restent un des principaux vecteurs de disparition d’une entreprise, être cyber-assuré est aussi un élément d’image important qui peut rassurer clients et fournisseurs d’une entreprise. En effet, un assureur n’accepte de couvrir un risque que s’il est maîtrisé. Pour l’heure, il existe encore, dans les PME surtout, un arbitrage budgétaire entre la souscription d’un contrat de cyber-assurance et l’investissement en cybersécurité : un contrat trop cher sera moins intéressant qu’un renforcement de la capacité de résilience.
A propos de l’étude
La quatrième édition de l’étude LuCy (Lumière sur la Cyber-assurance) a été publiée le 28 mai 2024. Si elle apporte les éléments de l’année 2023, elle permet aussi de comparer des données constituées sur cinq années consécutives. Seul le marché français est étudié.
L’étude est réalisée par l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) sous le pilotage de Philippe Cotelle, administrateur de l’AMRAE et président de sa commission Cyber. Elle se base sur le déclaratif des douze plus importants courtiers en assurances (et agences de souscription). Il s’agit de données exhaustives et objectives anonymisées de l’ensemble des primes versées et des sinistres indemnisés en matière de cyber-incidents en France. Les données sont anonymisées et agrégées, les données sources étant strictement confidentielles.
L’étude ne couvre par conséquent que les grands acteurs utilisant les services de courtiers et uniquement les cyber-incidents ayant été déclarés à un assureur (les TPE souscrivent en général directement auprès d’un agent général ou d’une agence). Il ne s’agit pas d’une étude sur la cybersécurité.
En tout, 13 508 polices d’assurance ont été traitées dont 280 pour les grands comptes. Le nombre de sinistres indemnisés étudiés est de 614.
En savoir plus
- Télécharger l’étude LuCy 2024 (PDF, sur le site de l’AMRAE).
- Informations et inscription pour le Club « De l’analyse de risque au cyber-rating : mesurer la cyber-fragilité » du mercredi 5 juin 2024.