Cyber-assurances : le marché menacé par la croissance des menaces
L’AMRAE a publié l’édition 2025 de son étude annuelle sur la cyber-assurance, LuCy (Lumière sur la Cyber-Assurance). Son pilote, Philippe Cotelle, l’a présentée.
Pour la cinquième fois, l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) vient de publier une édition de son étude annuelle LuCy (Lumière sur la Cyber-assurance). Cette édition ajoute les données de l’année 2024 aux données des études précédentes, ce qui amène une connaissance du marché sur les six dernières années. Comme pour chaque édition, l’AMRAE a pu collecter les données exhaustives mais anonymisées sur l’évolution des primes versées autant que sur les sinistres auprès de la plupart des courtiers. LuCy permet donc d’avoir une vision complète du marché de la cyber-assurance.
L’anonymisation et la confidentialité stricte des données sources permettent de garantir qu’aucune donnée personnelle ou confidentielle n’est traitée. Sur les six années couvertes, ce sont ainsi 60 000 polices d’assurances qui ont été analysées. En 2024, le montant des primes versées en France a été de 317 millions d’euros et les indemnités pour sinistres se sont élevées à 55 millions d’euros. Le volume de primes s’est contracté (-9 %) sur un an, surtout du fait des grandes entreprises qui continuent de constituer l’essentiel du marché. Certes, le nombre d’ETI et de PME ayant souscrit une cyber-assurance augmente nettement mais sans réussir à compenser la baisse des primes des grandes entreprises.
Un marché mature mais soumis à des cybermenaces croissantes
Le taux de prime a baissé : -18 % sur les grandes entreprise, -10 % sur les ETI. Philippe Cotelle, administrateur de l’AMRAE et président de sa commission Cyber, pilote de l’étude LuCy, a observé qu’il s’agit de la première réduction de taux prime sur le segment des ETI. Mais, dans le même temps, la capacité souscrite s’est accrue sur les grandes entreprises et est restée stable sur les ETI. Le ratio sinsitre/prime continue de baisser, ce qui marque une certaine maturité du marché.
« Le nombre de petits sinistres a de nouveau augmenté alors que, depuis plusieurs années, il ne faisait que baisser » a relevé Philippe Cotelle. Dans les grandes entreprises, ce sont à la fois le nombre d’incidents indemnisés et les montants d’indemnités qui augmentent. Cela signe, pour Philippe Cotelle, une forte croissance de la cybermenace. Si, dans la plupart des cas, les indemnités restent faibles, l’année 2024 a été aussi marquée par le retour de gros sinistres dont deux avec un coût indemnisé supérieur à dix millions d’euros. Côté ETI, s’il n’y a pas eu de sinistre majeur, on constate aussi une croissance des petits sinistres.
Retrouvez Philippe Cotelle au Club du Mercredi 24 septembre 2025
Philippe Cotelle, administrateur de l’AMRAE et président de sa commission Cyber, est le pilote de l’étude LuCy. Il sera le grand témoin du Club CISO du Mercredi 24 septembre 2025 sur le thème « Comment quantifier le risque cyber ? ».
Un marché en évolution positive malgré tout
Pour Philippe Cotelle, « 2024 est encore une année positive pour le marché ». La tendance est en effet à une croissance de la concurrence entre assureurs, ce qui tend à faire baisser les montants des primes. Le marché est donc qualifié de « attractif et dynamique ». Cependant, l’AMRAE tient à rappeler que le développement de la cyber-assurance reste fragile avec une tendance à stabiliser le budget consacré à l’assurance même si la couverture peut augmenter ou les franchises baisser à budget constant. Le retour conjoint des grands sinistres et d’une plus grande fréquence des petits sinistres constitue une épée de Damoclès sur la cyber-assurance. « Quelques sinistres pourraient suffire à ‘tuer le marché’ » a jugé Philippe Cotelle. Pour lui, « si le sinistre Mark & Spencer avait eu lieu en France, cela aurait le cas ».
Mais Philippe Cotelle a mentionné que l’année 2025 a débuté avec un sinistre majeur à l’étranger : un coût de plus de 300 millions de livres chez Mark & Spencer, avec, en plus, une class action en préparation de la part des personnes dont les données ont été dérobées. La couverture assurée n’est, dans cette entreprise, que de 100 millions. Toujours à l’étranger, un acteur sensible du secteur de la défense, Rheinmetall, a subi un sinistre dont l’impact financier dépasserait les 10 millions de dollar. La prochaine édition de l’étude nous dira si ces sinistres sont des épiphénomènes ou bien s’inscrivent dans des tendances pouvant être aussi constatées en France.
L’impact indéterminable des JOP Paris 2024
L’étude ne permet pas, par sa méthode, d’isoler un impact des Jeux Olympiques et Paralympiques de Paris 2024. Il est donc difficile et délicat de vouloir en sur-interpréter les résultats. Cependant, la hausse de la menace en France en 2024 est évidente. Les petites attaques ont été, généralement, contrées. Peut-être que la situation a eu surtout un effet pédagogique. Pour Philippe Cotelle, « ce n’est plus un tabou de déclarer un sinistre ».