Studio Romantic - stock.adobe.co
Étude LUCY : un marché de l’assurance cyber mature… pour les grandes entreprises.
Les attaques cyber font partie du quotidien des entreprises et des organisations, quelle que soit leur taille. Assurer le risque cyber devient donc pour certaines structures une question de (sur)vie. Mais à quel prix ?
Si l’augmentation de la sinistralité (terme joyeux des compagnies d’assurance pour désigner le montant des dommages subis par une organisation du fait d’une cyberattaque) a réussi à être à peu près contenue en 2022, l’étude LUCY (Lumière sur la Cyberassurance), publiée par l’Association pour le Management des Risques et des Assurances de l’Entreprise (Amrae) au printemps, masque des situations très différentes selon la taille des entreprises.
Menée depuis 2021 pour mieux éclairer un marché en pleine redéfinition, l’édition 2023 de LUCY a couvert 9 672 polices d’assurance : 281 pour les grandes entreprises, 591 pour les ETI (entreprises de taille intermédiaire, entre 50 millions et 1 milliard de CA), 492 pour les entreprises de taille moyenne (entre 10 et 50 millions de CA), 624 pour les PME (entre 2 et 10 millions de CA), et 7 684 pour les micro-entreprises (moins de 2 millions de CA).
Si, sans surprise, les grandes entreprises ont pris conscience et se sont armées de manière conséquente contre le risque cyber, la situation est toujours plus complexe pour les entreprises de taille intermédiaire, et, a fortiori, les PME et TPE.
Des grandes entreprises robustes et assurées face au risque cyber
« Le ratio S/P atteint un taux historiquement bas de 16,2 % », pour les grandes entreprises, souligne LUCY. Ce qui veut dire, en clair, que les sinistres ont atteint 16,2 % du montant des primes et que les assurances n’ont pas perdu d’argent sur la couverture des risques cyber des grandes entreprises. Le coût moyen d’un sinistre cyber pour une grande entreprise s’établit tout de même à 900 000 euros.
La situation reste saine également pour les ETI, après deux années difficiles (2019 et 2021), où le montant des indemnisations versées avait même dépassé de près de 5 fois le montant des primes versées, avec un ratio S/P de 480 %, en 2019, et de 260 %, en 2021.
Plus difficile est la situation pour les entreprises moyennes et les PME. Selon LUCY, « les résultats des entreprises de taille moyenne se sont dégradés en 2022 pour atteindre le seuil symbolique de 100 % de S/P. Cette dégradation est essentiellement due à l’explosion de la sinistralité, dont le coût a presque doublé entre 2021 (2,40 M€) et 2022 (4,50 M€) ». En outre, « la croissance du nombre d’entreprises assurées (+53 % en 2022) associée à la croissance du volume global de primes (+84 %) n’a pas permis d’absorber cette dérive ».
Conséquence logique : « on peut donc s’attendre à voir les assureurs nettoyer leur portefeuille en durcissant les conditions d’accès à l’assurance cyber, comme ils l’ont déjà fait sur les marchés des grandes entreprises en 2020 et sur celui des entreprises de taille intermédiaire en 2021 ».
Un risque qui coûte cher…
La couverture du risque cyber a un coût. LUCY 2023 fournit quelques chiffres, à titre indicatif.
Pour les grandes entreprises, l’assurance du risque cyber s’établit à 950 000 € de prime annuelle pour une capacité de 35 M€ avec 6,50 M€ de franchise. Elle passe à 65 000 € de prime annuelle pour une capacité de 6 M€ avec une franchise de 450 000 € pour les entreprises de taille intermédiaires, et 9 100 € de prime annuelle pour une capacité de 2,30 M€ avec une franchise de 48 000 €, pour les entreprises de taille moyenne.
Des franchises dont les montants apparaissent plus que significatifs dans l’équilibre des finances d’une entreprise, même s’ils sont à mettre en rapport avec un risque létal réel en cas de cyberattaque.
Quid des petites entreprises ?
Les PME (moins de 250 personnes, moins de 250 millions de CA) représentaient en 2018, selon l’Insee, 3,9 millions d’entreprises (inclus les micro-entreprises) et réalisaient 43 % de la valeur ajoutée nationale. Ce chiffre a été dopé après 2020 et il s’est créé près de 1,07 million d’entreprises en 2022.
Or, ces structures peuvent être particulièrement fragiles face à une cyberattaque, et s’avèrent dramatiquement absentes des radars statistiques… et des offres des assureurs.
Parce que le marché n’est pas perçu comme intéressant, ou n’atteint pas la taille critique. Un courtier avait ainsi confié, sous couvert d’anonymat : « la perte de données, y compris confidentielles, est parfois incluse dans l’assurance RC (responsabilité civile), mais c’est incomplet et cela ne couvre que très partiellement les dommages, pour l’entreprise comme pour ses clients ».
Même si certains assureurs, comme Stoïk, ou Dattak, prennent position sur ce segment de marché, on n’en est encore qu’aux balbutiements pour les PME, TPE et autres micro-entreprises.
Des initiatives louables (les guides de l’Anssi et de la CPME) et des outils d’auto-diagnostic comme ceux proposés gratuitement par le ministère de l’Économie et des Finances, des CCI, ou encore la Gendarmerie Nationale, avec cybermalveillance.gouv.fr, permettent aux dirigeants de petites structures ou encore aux collectivités de s’y repérer et d’évaluer assez précisément leur niveau d’exposition au risque cyber.
Mais cela n’est pas suffisant. Philippe Cotelle, coordinateur de l’étude LUCY, président de la commission Cyber de l’Amrae et Risk Manager d’Airbus Defence & Space, le reconnaît volontiers : « il faudrait, pour les PME, un référentiel clair et efficace pour qu’elles sachent où elles en sont sur leur risque cyber, et des polices d’assurance claires, adaptées à leurs attentes et leurs moyens pour couvrir ce risque ».