Assurance cyber : un luxe de grande entreprise ?

Spread the love
  • Yum

Assurance cyber : un luxe de grande entreprise ?

L’association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE) a publié cette semaine la première édition de son rapport LUCY, LUmière sur la CYberassurance, dont l’objectif est de proposer « une étude objective et exhaustive sur le risque cyber et sa couverture assurantielle. »

Pour parvenir à compiler les données nécessaires à l’étude, l’AMRAE s’est tournée vers huit courtiers en assurance, qui ont accepté de partager des chiffres anonymisés portant spécifiquement sur le niveau de couverture des entreprises en matière cyber et sur les sinistres indemnisés au cours des années 2019 et 2020.

L’un des premiers enseignements de l’étude, c’est la forte disparité qui existe face à l’assurance cyber entre les grandes entreprises, qui affichent un chiffre d’affaires supérieur à 1,5 milliard d’euros, et le reste des organisations (ETI, TPE/PME, Collectivités territoriales). 87 % des grandes entreprises déclarent ainsi avoir contracté une police d’assurance couvrant le risque cyber, contre 8 % des entreprises de taille intermédiaire.

 

Concernant les TPE/PME, les auteurs de l’étude restent prudents en rappelant que leurs chiffres proviennent de courtiers en assurance qui ne sont pas les interlocuteurs privilégiés de ce type de structure. Les chiffres suggèrent néanmoins un taux de couverture trop faible : « En 2020, seulement 362 des 140 000 PME réalisant entre 10 et 15 M€ de chiffre d’affaires ont souscrit une assurance cyber auprès de leur courtier. » Enfin, les collectivités restent à la traîne, avec 27 contrats d’assurance cyber souscrits en 2020 pour les communes de plus de 5000 habitants et 48 pour les collectivités territoriales.

publicité

Quatre incidents font pencher la balance

L’autre aspect auquel s’intéresse le rapport est celui de la capacité d’indemnisation associée à ces politiques d’assurance, généralement bien en deçà des sinistres constatés. « La capacité moyenne souscrite par les 87 % de grandes entreprises qui ont fait le choix de s’assurer est restée stable en 2020, autour de 38 M€ » indique ainsi le rapport, qui tire un constat similaire sur les entreprises de tailles intermédiaires, avec une capacité moyenne souscrite de 8 millions d’euros. Dans les deux cas, l’AMRAE estime que cette capacité est généralement « trop limitée » face aux risques financiers que représentent aujourd’hui les cyberattaques.

 

Le rapport rappelle ainsi en préambule que le « montant des indemnisations versées a été multiplié par 3, passant de 73M€ en 2019 à 217M€ en 2020 ». Une explosion des indemnisations qui doit être relativisées selon les auteurs du rapport : « cette inflation n’est due qu’à 4 sinistres de très haute intensité (entre 10 et 40 M€ d’indemnisation chacun) déclarés par des grandes entreprises. » Sans ces quatre incidents, le montant des indemnisations versées aurait été sensiblement le même que celui de l’année passée.

Pour les cybercriminels adeptes de la technique du ransomware, l’année 2020 a en effet été marquée par des attaques sur des cibles de haut vol, avec des rançons en conséquence. Sopra Steria, frappé au mois de septembre par un ransomware, avait ainsi estimé les conséquences de l’attaque à environ 50 millions d’euros. Et on parle ici d’un bon élève qui a su maîtriser correctement sa gestion de crise.

Pour les assureurs, il y a donc indéniablement un coup à jouer, mais la tâche s’avère délicate. L’AMRAE souligne tout d’abord la nécessité pour les entreprises, notamment les ETI, TPE et PME, d’être mieux sensibilisé au risque en matière numérique et de mettre en place de meilleures stratégies de sécurité numérique visant à limiter « les nombreux sinistres de faible intensité » qui représentent l’essentiel des sinistres.

Régime à deux vitesses

Le rapport souligne également les dynamiques différentes entre le marché des grandes entreprises et celui des ETI : si les grands comptes sont « majoritairement protégés par une assurance cyber, mais avec un niveau de couverture inférieur à leurs besoins réels », elles peinent à trouver des assureurs en capacité de couvrir les sinistres de plus grande ampleur provoqués par des attaques informatiques.

De l’autre côté, les ETI bénéficient elles d’un marché concurrentiel et d’une offre importante, mais sont nettement moins sensibilisées au risque et ont moins recours à l’assurance. « Il n’y a donc pas un marché de l’assurance cyber, mais deux marchés confrontés à deux problématiques radicalement différentes : un manque d’offre du côté des grandes entreprises, une faiblesse de la demande du côté des ETI, des PME et des collectivités publiques. »

Leave a Reply

%d bloggers like this: