L’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE) publie une étude qui se veut “la première étude objective et exhaustive sur le risque cyber et sa couverture assurantielle.“
Pour mener cette enquête, intitulée LUmière sur la CYber assurance (LUCY)*, l’AMRAE s’est tournée vers les courtiers spécialistes des risques d’entreprise, intermédiaires entre les assureurs et les entreprises. « C’est le meilleur observatoire pour avoir une vision réelle et exhaustive du marché, explique Philippe Cotelle, président de la commission Systèmes d’information de l’AMRAE. C’était aussi le seul moyen de garantir l’anonymat des réponses”, car le risque cyber reste tabou. Son ampleur, son coût réel et le niveau d’indemnisation des sinistres sont rarement rendus publics. Il faut se contenter de spéculation, de sondages, souvent le fait d’éditeur en cybersécurité, ou d’extrapolation, ce qui n’est pas pour aider les entreprises elles-mêmes qui doivent comprendre les risques financiers pour s’assurer, ni les assureurs cyber eux-mêmes qui ont à charge de financer les coûts, directs et indirects, liés à un problème cyber : gestion de crise avec des experts en cyber assistance, frais de notification en cas de perte des données, pertes d’exploitation, frais d’experts informatiques, frais d’avocats, communication de crise et… éventuel paiement d’une rançon.
L’étude conduite par l’AMRAE révèle que si 87 % des grandes entreprises françaises sont effectivement couvertes, avec des garanties souscrites de 38 M€, moins de 8 % des entreprises de taille intermédiaire (ETI) le sont, pour 8 M€. Les collectivités publiques, quant à elles, ne s’assurent que très peu (1 % pour les communes de plus de 5000 habitants et intercommunalités). Notez que les 13 % restant de grandes entreprises n’ayant pas souscrit de police spécifique peuvent avoir choisi de s’auto-assurer
par la mise en place d’une captive (c’est-à-dire une filiale jouant le rôle d’un assureur) ou avoir souscrit une police Responsabilité civile (RC) intégrant des garanties cyber. L’étude ne le dit pas.
Dans le même temps, on sait que les attaques par ransomware se sont multipliées : groupes industriels (Saint-Gobain, Bénéteau…) ou pharmaceutiques (Pierre Fabre…), collectivités territoriales, hôpitaux, ministères…Le coût de ces sinistres reste difficile à évaluer. Il est parfois marginal, mais il peut aussi se chiffrer en centaines de millions d’euros. Lire à ce sujet notre dossier : Ransomware : radiographie du fléau des années 2020
Un niveau de couverture très inférieur à l’exposition au risque cyber
L’étude note que le niveau de couverture des entreprises semble très inférieur à leur exposition au risque cyber. La capacité moyenne souscrite par les 87 % de grandes entreprises qui ont fait le choix de s’assurer est restée stable en 2020, autour de 38 M€. Or les attaques qui ont ciblé de grandes entreprises ces dernières années se sont soldées par “des centaines de millions d’euros de pertes qui ne sont pas toujours assurées“. Rappelons ces montants après des cyberattaques médiatisées : 220 M€ de pertes pour le groupe Saint-Gobain en 2017, 70 M€ pour Eurofins en 2019, et 50 M€ pour le groupe Sopra Steria en 2020…
Cela n’a rien d’étonnant : pour une entreprise réalisant plus d’1,5 Md€ de chiffre d’affaires, le coût d’un arrêt total de l’activité pendant un ou plusieurs jours se chiffre en millions d’euros. Auxquels s’ajoutent les coûts de gestion de crise, le risque de réputation, les éventuels frais de notification en cas de pertes de données, etc. On peut donc considérer que les grandes entreprises sont très nettement sous-assurées.
La conscience du risque cyber et le principe de la protection assurantielle n’ont pas encore pénétré notre économie
LUCY fait apparaître une augmentation du volume de primes de 49 %, qui est passé de 87 M€ en 2019 à 130 M€ en 2020. Mais cette croissance est très inférieure à celle du montant des indemnisations versées qui a été multiplié par 3, passant de 73 M€ en 2019 à 217 M€ en 2020. Pour les assureurs, le ratio Sinistres sur Primes (S/P) est donc passé de 84 % à
167 %. Le volume d’indemnisation de sinistres a, certes, été multiplié par 3 entre
2019 et 2020. Mais cette inflation n’est due qu’à 4 sinistres de très haute intensité (entre 10 et 40 M€ d’indemnisation chacun) déclarés par des grandes entreprises. Sans ces 4 sinistres, qui ne représentent que 1 % des sinistres indemnisés en 2020, les résultats techniques de l’ensemble de la ligne cyber auraient été identiques à ceux de 2019.
Pour l’AMRAE “Les grandes entreprises ont besoin que l’offre d’assurance se développe pour augmenter leurs capacités. Mais les assureurs resteront réticents tant que le volume global de primes ne leur permettra pas de faire face aux sinistres de haute intensité. Il faut donc que la demande augmente pour que l’offre soit suffisante. Ou que l’offre soit suffisante pour susciter la demande… Il y a urgence à sortir de ce cercle vicieux : les grandes entreprises représentent 82 % du volume de primes sur le marché de l’assurance cyber.“, indique le rapport. Les PME et ETI, quant à elles, ne connaissent pas ce problème d’offre :
“Seulement 8 % des ETI sont assurées pour une couverture moyenne de 8 M€. Une telle capacité est facilement accessible sur le marché, à des taux de primes très attractifs. Sur ce marché, le véritable enjeu est de sensibiliser les entreprises au risque cyber“.
“L’assurance cyber n’a pas encore trouvé son équilibre : avec un taux de couverture des entreprises et un volume de primes encore trop limités, les assureurs ne parviennent pas à trouver les conditions de la mutualisation indispensable au règlement des sinistres de forte intensité. Ce manque de maturité n’explique pas tout : le marché américain est, certes, un peu plus mûr ; mais les taux de primes cyber sont en augmentation constante. Mieux vaut donc se préparer à des tensions inflationnistes sur le marché européen. Une bonne connaissance du risque cyber permettra de maîtriser ces tensions. C’est toute l’ambition de l’étude LUCY : l’AMRAE l’a précisément menée pour poser les bases d’un dialogue constructif entre les assureurs, les assurés et les courtiers“, conclut Philippe Cotelle
L’AMRAE dit vouloir reconduire chaque année cette étude, en partenariat avec les courtiers, et l’élargir au marché européen dans un premier temps, puis à l’échelle mondiale.
* Collecte de données anonymisées auprès de 8 grands courtiers français.
Période d’observation : 2019 et 2020.
Champ de l’étude : 1 879 entreprises ou organisations souscrivant un contrat s’assurance cyber; 328 sinistres indemnisés.