Tout le monde en parle mais il reste encore largement dans l'ombre : le risque de cyberattaques est non seulement sous-estimé par les entreprises, en particulier les ETI et les PME, mais les (ré) assureurs peinent à trouver un juste équilibre pour le mutualiser. Pour mettre en lumière les défis que représente cette menace croissante dans un monde de plus en plus digitalisé, l'association des risk managers Amrae vient dresser un état des lieux aussi inédit que rigoureux de la cyber assurance en France, en partenariat avec les huit plus grands courtiers de la place.

Selon l'étude, qui a vocation à être actualisée chaque année, 87% des grandes entreprises ont effectivement souscrit une assurance cyber, pour une couverture moyenne de 40 millions d'euros. La prise de conscience est donc réelle parmi les grands groupes mais le niveau de protection peut paraître faible au regard du chiffre d'affaires et des dégâts encourus.

Augmenter la base de souscription

Chaque risk manager a en mémoire l'impact financier de l'attaque au ransonware dont a été victime Saint Gobain en 2017 : une perte de chiffre d'affaires de 250 millions d'euros et une perte d'exploitation de 80 millions. « La souscription est bien inférieure à l'exposition des grandes entreprises, surtout face à des sinistres de plus en plus intenses », commente Philippe Cotelle, président de la commission Systèmes d'Information de l'Amrae.

En revanche, seules 8 % des ETI sont assurées sur ce type de risque (pour une garantie moyenne de 8 millions d'euros) et les PME sont quasi absentes. « Il faut renforcer la souscription pour les ETI. Ce n'est pas un sujet d'offre, comme pour les grandes entreprises, mais bien un sujet de demande. Augmenter les souscriptions permettrait aux entreprises d'être moins vulnérables mais aussi au marché de l'assurance cyber de renforcer sa base de souscription et sa capacité de mutualisation », souligne Philippe Cotelle. Enfin, les collectivités publiques, pourtant récemment victimes d'attaques informatiques malveillantes, semblent se réfugier derrière le principe que l'État est son propre assureur.

Des sinistres multipliés par trois

Pourtant, le risque cyber (du moins celui qui est assuré) est bien réel et en nette augmentation, autant en volume qu'en intensité. Entre 2019 et 2020, le coût des sinistres a été multiplié par trois pour atteindre 217 millions d'euros alors que les primes n'ont augmenté que de 50 % (à 130 millions) sur la période. Résultat, le ratio combiné (sinistres sur primes) s'est fortement dégradé sur ce marché naissant d'une année sur l'autre, de 84 % en 2019 à 167 % en 2020.

En revanche, la fréquence reste stable à l'aune du nombre de sinistres par rapport au nombre d'assurés. Le problème, tout comme pour les catastrophes naturelles, c'est la distribution des sinistres : moins de 1% des sinistres représente deux tiers des indemnisations.

Ces chiffres montrent au moins une chose : que la cyber assurance fonctionne ! « Mais le ratio déséquilibré indique qu'il y a une correction à mener sur le marché de la cyber assurance, ce qui n'est guère surprenant en matière d'assurance », estime Philippe Cotelle.

Éviter la volatilité du marché

Plus inquiétant, cette réaction des assureurs se traduit également par une baisse de l'offre d'assurance, du moins pour les grandes entreprises. « Les premiers retours que nous avons sur les renouvellements des contrats à la fin 2020 et début 2021 montrent bien une augmentation des taux de primes et des franchises mais aussi une réduction, parfois de 50%, de capacité proposée par les assureurs. C'est une tendance très préoccupante alors que les entreprises vont avoir des besoins croissants», constate Philippe Cotelle. Il devient même de plus en plus difficile de trouver des assureurs en « première ligne » (appariteurs), sans qui il est impossible de bâtir un programme de coassurance.

Pour le risk manager, « il faut éviter que la réaction des assureurs ne se traduise par une forte volatilité qui pourrait susciter auprès des entreprises des interrogations sur la pérennité du marché et la fiabilité des assureurs sur le long terme alors même que les besoins seront présents pour les dix ou vingt prochaines années ».

L'auto-assurance, ou les captives d'assurance, dont le changement du régime fiscal est actuellement à l'étude à Bercy, pourraient d'ailleurs non seulement jouer un rôle de déclencheur pour les assureurs en partageant le risque mais aussi permettre de développer des programmes de cyber assurance de plus grande taille.

 Au total, le marché de l'assurance cyber risque de tomber dans un cercle vicieux avec moins d'offres pour les grandes entreprises et moins de demande pour les entreprises de plus petite taille qui empêcherait toute mutualisation des risques.

La mobilisation doit donc se faire autant du côté des entreprises que des assureurs, mais aussi des pouvoirs publics qui viennent d'engager un plan de lutte contre le risque cyber. Cela passe surtout par la prévention et une meilleure gestion du risque dans les entreprises, qui sont des éléments clé pour ne transférer aux assureurs que les risques assurables et non pas systémiques.