Partager :
L’Association pour le management des risques et des assurances de l’entreprise (Amrae) publie la première étude quantitative et qualitative sur la souscription des entreprises tricolores à une assurance cyber. Panorama.
Désormais, il faudra s’habituer chaque année à Lucy. Comprenez ‘‘LUmière sur la CYber assurance’’. À savoir la première étude quantitative et qualitative concernant les entreprises françaises et leur souscription à une assurance cyber, les garanties associées et les indemnisations versées. Un travail de titan qu’a réalisé l’Association pour le management des risques et des assurances de l’entreprise (Amrae), sous le regard de la Fédération française des Assurances (FFA) et de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI). Pilotée par Philippe Cotelle, administrateur de l’Amrae, président de la commission Systèmes d’information, vice-président de Ferma et Risk Manager d’Airbus Defence & Space, Lucy est le fruit de la collecte de données anonymisées auprès de huit grands courtiers français durant les années 2019 et 2020. Ces données concernent 1 879 entreprises ou organisations souscrivant un contrat d’assurance cyber ainsi que 328 sinistres indemnisés.
Philippe Cotelle est administrateur de l’Amrae où il préside la commission Systèmes d’information. © Amrae
Tensions sur le marché de l’assurance cyber
Pour leur part, les grandes entreprises sont couvertes à 87 %, contre à peine 8 % pour les entreprises de taille intermédiaires (ETI) – qui réalisent un chiffre d’affaires allant de 50 millions d’euros à 1 milliard. Quant aux garanties souscrites, elles sont de 40 millions d’euros pour les grandes entreprises et de 8 millions d’euros pour les ETI. Parmi les constats, l’étude Lucy fait apparaître « une augmentation du volume de primes de 49 %. Lequel est passé de 87 millions d’euros en 2019 à 130 millions d’euros en 2020. Mais cette croissance est très inférieure à celle du montant des indemnisations versées qui a triplé, passant de 73 millions d’euros en 2019 à 217 millions d’euros en 2020 », confie Philippe Cotelle. Pour les assureurs, le ratio ‘‘sinistres sur primes’’ (S/P) a donc bondi de 84 % à 167 %. « Ces données permettent de mieux comprendre les tensions en cours sur le marché de l’assurance cyber, reprend Philippe Cotelle. Les entreprises se voient actuellement proposer des réductions de garanties pour des tarifs plus élevés. Sans doute à juste titre dans certains cas mais certainement pas dans tous les cas. »
Quatre sinistres ont triplé le volume d’indemnisation
Autrement dit, il convient d’expliquer certains phénomènes. Tout d’abord, « le volume d’indemnisation de sinistres a, certes, été multiplié par trois entre 2019 et 2020. Mais cette inflation n’est due qu’à quatre sinistres de très haute intensité (entre 10 et 40 millions d’euros d’indemnisation chacun) déclarés par des grandes entreprises. Sans ces quatre sinistres, qui ne représentent que 1 % des sinistres indemnisés en 2020, les résultats techniques de l’ensemble de la ligne cyber auraient été identiques à ceux de 2019 », rapporte le président de la commission Systèmes d’information de l’Amrae.
Le montant des indemnisations versées par les assurances cyber est passé de 73 millions d’euros en 2019 à 217 millions d’euros en 2020. © Jakob Rosen / Unsplash
Sortir du cercle vicieux de la sous-assurance
Ensuite, les grandes entreprises couvertes par un contrat d’ ne le sont que pour 38 millions d’euros en moyenne. Un taux de couverture est trop limité au regard de leur exposition. Elles ont besoin que l’offre d’assurance se développe pour augmenter leurs capacités. « Néanmoins, les assureurs resteront réticents tant que le volume global de primes ne leur permettra pas de faire face aux sinistres de haute intensité, poursuit Philippe Cotelle. Il faut donc que la demande augmente pour que l’offre atteigne un niveau suffisant. Ou que l’offre soit suffisante pour susciter la demande… » Bref, il est urgent de sortir de ce cercle vicieux : les grandes entreprises représentent 82 % du volume de primes sur le marché de l’assurance cyber car les ETI et les collectivités publiques sont sous-assurées.
Le risque cyber encore tabou
Sur le marché de l’assurance cyber, le véritable enjeu est donc de sensibiliser les entreprises au risque cyber qui est réel : « 220 millions d’euros de pertes pour le groupe Saint-Gobain en 2017, 70 millions d’euros pour Eurofins en 2019 et 50 millions d’euros pour le groupe Sopra Steria en 2020… Une perte sèche pour certains car ces dommages n’étaient pas tous couverts par une police d’assurance », rappelle l’administrateur de l’Amrae. En ce qui concerne les ETI et PME, les indemnisations versées ont représenté environ 40 millions d’euros en 2019. Reste que le risque cyber est encore tabou : « L’ampleur, le coût réel et le niveau d’indemnisation de ces sinistres sont rarement rendus publics. Si bien que les chiffres et les données régulièrement brandis pour alerter les entreprises sur l’importance de ce risque relèvent davantage de l’extrapolation, de la spéculation ou du sondage que de la véritable enquête statistique, reconnaît Philippe Cotelle. Ce manque de données est un frein au développement du marché de l’assurance cyber. »
Erick Haehnsen
Commentez