petzshadow - Fotolia
Ce que l’AMRAE dit en filigrane de la posture de sécurité des entreprises
L’association vient de publier une étude dressant un état des lieux quantitatif de l’adoption de la cyberassurance par les entreprises. Entre les lignes, il fait ressortir une posture de sécurité présentant de larges marges de progression.
L’Association pour le management des risques et des assurances de l’entreprise (AMRAE) vient de rendre publics les résultats d’une étude dite LUCY, pour « LUmière sur la CYberassurance », « la première étude quantitative vue des entreprises françaises sur la souscription de l’assurance cyber, les garanties associées et les indemnisations versées ». Celle-ci s’appuie sur les données anonymisées de 8 grands courtiers de l’Hexagone, couvrant 1 879 entreprises ou organisations ayant souscrit un contrat d’assurance cyber, et 328 sinistres indemnisés, entre 2019 et 2020.
Un marché fortement déséquilibré
Sans trop de surprise, alors que l’année 2020 s’est montrée particulièrement violente sur le terrain des cyberattaques, le montant des indemnisations versées a explosé, atteignant 217 M€ contre 73 M€ en 2019. Mais les primes sont loin d’avoir progressé aussi vite, passant de 87 M€ à 130 M€ en 2020. Ce déséquilibre est particulièrement inhabituel – et inconfortable – pour un domaine d’assurance sorti de la branche des spécialités, où l’on trouvait historiquement « des garanties plutôt de niche en général très rentables », nous expliquait en janvier un expert du secteur.
Les problèmes ne s’arrêtent pas là. Sur l’étude de l’AMRAE, 4 sinistres ont pesé pour 130 M€ en 2020. On imagine aisément l’attaque de Sopra Steria figurer dans le lot, aux côtés d’autres grands comptes.
Car c’est par ces entreprises que sont souscrites les plus grosses garanties – de l’ordre de 38 M€ en moyenne. Mais là, sur des grands comptes, on ne tient pas très longtemps en termes de pertes d’exploitation… La couverture est « trop limitée », relève l’AMRAE et les grandes entreprises « ont besoin que l’offre d’assurance se développe pour augmenter leurs capacités ». Las, « les assureurs resteront réticents tant que le volume global de primes ne leur permettra pas de faire face aux sinistres de haute intensité ».
Un gisement de primes peu exploité
L’une des explications à ce déséquilibre et aux « tensions en cours sur le marché de l’assurance cyber » est peut-être à chercher du côté des ETI et des PME. Pour ces dernières, un courtier nous glissait récemment qu’il n’était pas question, pour lui, d’y toucher. De fait, selon l’étude de l’AMRAE, seulement 8 % des ETI sont assurées, « pour une couverture moyenne de 8 M€ ». Et pourtant, là, « une telle capacité est facilement accessible sur le marché, à des taux de prime très attractifs ». Mais pour l’AMRAE, l’enjeu, avec les ETI, « est de sensibiliser les entreprises au risque cyber ».
Les collectivités publiques n’apparaissent guère mieux loties et sont présentées comme « très largement sous-assurées alors que leur exposition est réelle, comme les nombreuses attaques enregistrées depuis le début de l’année le montrent ». Cela apparaît d’autant plus regrettable qu’augmenter le volume global des primes permettrait d’aider à réduire les tensions sur le marché de la cyberassurance.
Relever la posture de sécurité
Mais l’assurance n’est qu’une composante de la gestion des risques, comme le souligne l’AMRAE. Laquelle souligne donc l’importance de « prendre conscience de son exposition au risque cyber, identifier les risques et déployer des mécanismes de prévention permet de ne transférer que les risques résiduels à l’assureur ».
Dans une vidéo, Philippe Cotelle, administrateur de l’AMRAE, va d’ailleurs droit au but avec une première recommandation pour les entreprises : « analysez vos vulnérabilités » et « quantifiez votre exposition financière ».
Ce message résonne comme un écho aux propos que tenait le patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), Guillaume Poupard, fin janvier : « protégez-vous vous-mêmes ; aidez-vous vous-mêmes ; c’est quand même ça la priorité ». Plus tôt, en ouverture du Panocrim du Clusif, il avait été on ne peut plus clair : « il n’y aura pas de bouclier cyber au dessus de la France, ni autour de l’Europe, ni autour de l’OTAN. Chacun doit se protéger, chacun doit être un bout de la protection cyber ».
Ces propos sonnaient comme une réponse à la lettre ouverte que le Cigref avait adressée au Premier ministre, Jean Castex, à l’automne dernier. Dans celle-ci, la cybersécurité apparaissait avant tout comme un centre de coût : « des ressources humaines, techniques et financières croissantes sont engagées par les entreprises pour assurer la sécurité de leurs systèmes numériques, au détriment de leur capacité d’innovation et de leur compétitivité ».