Natee Meepian - stock.adobe.com

L’AMRAE appelle à stabiliser et renforcer l’attractivité de la cyberassurance

L’association vient de publier sa seconde étude sur l’adoption de la cyberassurance par les entreprises. Elle fait clairement ressortir les difficultés qui ont secoué le marché l’an dernier et souligne l’importance d’une stabilisation.

L’Association pour le management des risques et des assurances de l’entreprise (AMRAE) a rendu publics fin mai les résultats de sa seconde étude dite LUCY, pour « LUmière sur la CYberassurance ». Celle-ci s’appuie sur les données anonymisées de 7 grands courtiers de l’Hexagone, couvrant 2 028 entreprises ou organisations – contre 1 879 pour l’édition précédente – ayant souscrit un contrat d’assurance cyber, et 518 sinistres indemnisés.

Ce nombre est en forte progression sur un an : seuls 328 sinistres indemnisés avaient été considérés pour l’édition précédente – et la première – de l’étude. Ce n’est toutefois pas une surprise : le nombre de cyberattaques, en France, a fortement augmenté entre 2020 et 2021.

L’Amrae fait état de 57 sinistres indemnisés dans les grandes entreprises en 2021, contre 110 chez les ETI, 26 chez les moyennes entreprises, et 318 dans les petites entreprises.

Un marché qui a retrouvé son équilibre

Pour autant, les montants indemnisés ont reculé à 164 M€ en 2021, contre 217 M€ un an plus tôt. Parallèlement, le montant des primes a progressé, de 130 à 185 M€. L’AMRAE y voit « des résultats techniques très positifs pour les assureurs », mais estime tout de même que le « retour à rentabilité » a un « goût amer ».

De fait, l’association explique que le marché est « devenu très rentable sur le segment des grandes entreprises ». Elles représentent 83 % du volume des primes versées, pour un ratio sinistres sur primes de 58 %… contre 190 % en 2020.

Pour mémoire, quatre sinistres avaient pesé pour 130 M€ en 2020. On imagine aisément l’attaque de Sopra Steria avoir figuré dans le lot, aux côtés d’autres grands comptes. En 2021 aussi 4 sinistres de « très grande taille » ont été enregistrés, avec toutefois un coût d’indemnisation divisé par deux.

Mais voilà, pour obtenir ces améliorations, les assureurs ont « engagé des mesures de redressement très fermes » sur le segment grands comptes. Au programme, notamment, « l’instauration de très fortes franchises » à… « près de 4 M€ en moyenne ». Ces actions ont notamment eu pour conséquence de voir 11 grandes entreprises renoncer à leur couverture cyber en 2021.

Non sans douleur

L’élargissement de la base de collecte de primes ne semble toujours pas être véritablement survenu : les ETI ne représentaient que 13 % des primes versées en 2021, contre 4 % pour les TPE et 1 % pour les PME. Mais le taux de couverture des ETI a tout de même progressé de 20 % pour atteindre 9 %.

Les collectivités publiques ? Elles n’ont pas été prises en compte pour cette édition de l’étude, faute d’un recours au courtage trop limité pour « obtenir des résultats pertinents ».  

Les grandes entreprises n’ont pas été les seules à devoir faire des efforts pour conserver leurs assurances cyber en 2021. Les ETI ont également mis la main au portefeuille : sur ce segment, le taux de prime a progressé de plus de 56 % par rapport à 2020. Les PME ont été épargnées avec une baisse de 54 % de leur taux de prime.

En parallèle, les capacités souscrites ont reculé, de 23,8 % pour les grandes entreprises, et de près de 13,5 % pour les ETI. Autrement dit, sur ces segments, les entreprises ont payé plus cher leur assurance cyber, en 2021, pour des garanties moindres.

Des inquiétudes pour l’avenir

Et si la franchise était élevée en 2021 pour les grandes entreprises, elle s’établissait tout de même à près de 230 000 € pour les ETI et plus de 32 000 € pour les moyennes entreprises.

L’AMRAE ne manque pas de souligner plusieurs risques. Pour l’association, « il est temps de revenir à une forme de stabilité et à une attractivité pour les entreprises », afin d’enrayer l’hémorragie sur le segment des grandes entreprises, essentielles pour le développement du marché.

Et de souligner au passage que non seulement les ETI « ne sont pas à l’abri des sinistres d’intensité (plus de 10 M€ d’indemnisation », mais elles ne devraient pas échapper plus longtemps « à des mesures correctives en 2022 ». Surtout, elles « pourraient ne pas supporter la brutalité des mesures appliquées en 2021 » aux grands comptes.

Plus loin, l’AMRAE insiste : « le risque cyber est un risque de long terme ». Dès lors, tant les assureurs que les entreprises doivent l’appréhender dans le cadre d’une « politique de gestion de risque de long terme ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)