Inscrire le risque cyber dans une politique globale de maîtrise des risques permettrait de stabiliser le marché

À partir des données anonymisées transmises par huit grands courtiers et PLANETE CSCA, (avec le regard de la FFA et de l’ANSSI), l’AMRAE a publié début mai LUmière sur la CYber assurance, (LUCY), la première étude quantitative vue des entreprises françaises sur la souscription de l’assurance Cyber, les garanties associées et les indemnisations versées. Philippe Cotelle a piloté l’enquête. Il souligne le côté novateur de cette approche, ses principaux enseignements et ouvre des pistes prospectives pour poursuivre cette action dans le temps.

En quoi LUCY est-elle une enquête innovante ?

Notre méthodologie s’est appuyée sur un travail collectif et collaboratif, qui met en exergue le rôle-clé des courtiers. Ceux-ci nous ont fait remonter de manière anonyme et exhaustive leurs informations en matière de souscription et de sinistralité Cyber. Pour un assuré, on dénombre en effet un courtier et des assureurs parfois internationaux. Interroger ces derniers n’est donc pas facile si l’on veut être exhaustif et global, et par ailleurs, ne permet pas de mesurer l’évolution du nombre d’assurés. Notre approche nous permet de disposer d’un panel complet de toutes les entreprises qui passent par un courtier pour souscrire une assurance, que celle-ci soit placée auprès d’une compagnie française ou sur les marchés internationaux. Cette exhaustivité nous donne un réel avantage par rapport aux sondages qui peuvent
être effectués sur des échantillons non maîtrisés. En comparaison des autres enquêtes, nous disposons de résultats robustes par typologie d’entreprises.

D’ailleurs, la photo que LUCY nous donne de l’état du marché de l’assurance Cyber vient objectiver et préciser des éléments que nous percevions. Nous pouvons nous appuyer sur ces résultats, qui ne relèvent plus d’une appréciation qualitative, mais d’un recueil d’informations auprès de ceux qui sont les mieux placés pour les compiler.

Nous avons d’ailleurs pour objectif de profiter des mois qui viennent pour continuer à sensibiliser les courtiers sur l’importance de ce recueil de données, afin que la prochaine étude soit encore plus complète.

Quels sont les principaux enseignements de l’étude 2021 ?

LUCY met en lumière la forte disparité de comportement entre les grandes entreprises d’un côté, et les PME/ETI de l’autre.

Aujourd’hui, une immense majorité des grandes entreprises souscrivent des assurances Cyber (87 %), une proportion en augmentation. Entre 2019 et 2020, les entreprises de plus de 1,5 milliard d’euros de chiffre d’affaires ont franchi le pas de s’assurer, pour une grande partie d’entre elles. Deux phénomènes expliquent cela, une prise de conscience encore plus grande de l’intérêt de souscrire, et la nécessité depuis 2019 de sortir des garanties silencieuses pour souscrire des polices dédiées. Ainsi, les polices Cyber intégrées à des RC classiques sont devenues très marginales aujourd’hui.

En revanche, certaines entreprises peuvent faire le choix de recourir à une captive pour gérer leur risque Cyber sans recourir au marché.

Cependant, nous constatons que le niveau de garantie reste faible : 38 à 40 millions d’euros en moyenne. Cet élément nous avait déjà été signalé par les courtiers, mais nous sommes capables de disposer d’un chiffre fiable, et il nous interroge. Comparé à ce que pourrait coûter en pertes d’exploitation la paralysie d’une entreprise qui génère plus d’un milliard d’euros de chiffre d’affaires, quelques heures voire quelques jours, ce montant de garantie parait très insuffisant. Dans un monde qui s’est digitalisé à marche forcée, et nous ne reviendrons pas en arrière sur ce plan, la dépendance digitale des entreprises
accroit leur exposition au risque Cyber.

Concernant les PME et les ETI, LUCY nous apporte des éléments importants sur la faiblesse de la
pénétration de l’assurance Cyber. Nous constatons une hausse du nombre d’entreprises qui souscrivent
une police Cyber, mais le volume reste faible : 8 %, ce qui est alarmant, y compris pour l’État français.

Ces entreprises n’auraient pas une surface financière suffisante pour résister longtemps à une attaque majeure, et elles n’auraient d’autre recours que l’argent public pour survivre. Or sur ce segment, l’assurance Cyber démontre une réelle efficacité, avec 40 millions de sinistres indemnisés en 2019, un chiffre important.

Les courtiers peinent encore à sensibiliser les TPE et les PME, voire les ETI : elles ne se considèrent pas comme des cibles et elles font déjà face à de nombreux risques à gérer en permanence. Les dirigeants de ces entreprises ne perçoivent pas toujours la spécificité de ce risque, et lorsqu’ils s’assurent, c’est pour de faibles capacités (8 millions d’euros en moyenne). Pourtant, les taux d’assurance étaient en 2020 plus attractifs, de l’ordre de deux fois moins chers que pour les grands groupes.

L’enjeu consiste à faire rentrer le Cyber dans une politique des risques globale, condition indispensable pour structurer le marché et sur ce point, le rôle des courtiers est crucial.

Que faut-il en conclure sur les conditions de marché pour 2021 ?

Nous sommes à un moment-clé pour le marché de l’assurance Cyber : l’analyse du ratio primes/sinistres des grandes entreprises montre une forte dégradation, qui rend le marché instable. À eux seuls, les quatre sinistres majeurs de 2020 entraînent une indemnisation de 130 millions d’euros, soit 100 % du montant des primes 2020. Ces 130 millions représentent les 2/3 des indemnisations totales, qui ont triplé par rapport à 2019.

Si cette tendance venait à se confirmer, la situation ne serait pas tenable. Un sinistre majeur pourrait totalement déséquilibrer les résultats techniques d’un assureur, ce qui constitue bien sûr un réel motif d’inquiétude. Nous faisons face à un resserrement de l’assurance Cyber pour ce haut de segment, avec un déficit d’offre.

Or les primes des grandes entreprises constituent 80 % du marché global, qui n’est pas suffisamment large actuellement pour assurer une mutualisation des risques. Ces conditions créent une instabilité, un risque de volatilité qui n’est pas propice au développement de ce marché.

Pour les ETI, le déficit provient de la demande, comme je l’ai évoqué précédemment. Mais l’assurance Cyber doit se structurer, et vite, car les entreprises vont rester digitales. La course engagée entre les attaquants et les organisations va se poursuivre. Nous avons besoin d’apporter à cette menace une réponse de long terme pour stabiliser le marché.

Nous plaidons donc pour une meilleure quantification de leur exposition par les entreprises, qui permettrait d’ajuster leurs garanties. Les entreprises plus petites doivent entrer dans l’équation, car seule une base de mutualisation large permettra d’absorber des risques plus intenses, rendant les entreprises plus résilientes et le marché moins volatile.

Nous devons aussi veiller à ne pas laisser les assureurs appliquer à ces acteurs, TPE, PME, ETI, des standards issus de leurs relations avec les grandes entreprises, ce qui les rendrait mécaniquement inassurables. Un accompagnement de la politique de gestion des risques par les acteurs de l’assurance est indispensable.

Ainsi, nous souhaitons éviter un scénario qui serait défavorable à tous : une base de mutualisation trop faible qui conduirait les assureurs à se retirer du marché. Ces derniers ont souvent des échéances court-termistes. Les courtiers dont la dimension conseil est déterminante, doivent jouer un rôle d’accompagnement pour inscrire le Cyber dans la politique globale de gestion des risques de l’entreprise, inciter celle-ci à réaliser des investissements pour rassurer les porteurs de risques. L’AMRAE se félicite d’en recenser de plus en plus dans ses formations à la prévention et à l’assurance des risques Cyber.

Que pouvez-vous nous dire pour la sphère publique ?

Nous avons constaté que de nombreuses communes, communautés de communes, structures hospitalières… ont fait l’objet d’attaques ces derniers mois. La culture de l’assurance est moins développée dans la sphère publique que dans la sphère privée, et nous devons redoubler de pédagogie pour sensibiliser ces acteurs économiques nombreux et cruciaux pour le bon fonctionnement de notre pays. Il est nécessaire de faire valoir les atouts de la couverture assurantielle tout en développant une politique d’évaluation des risques. Le sujet demeure souvent la création de la ligne budgétaire.

Quels sont vos projets concernant l’édition 2 de LUCY ?

Nous allons lancer nos travaux très en amont pour 2022, en capitalisant sur l’exhaustivité et la confidentialité qui en ont fait le succès cette année. Nous élargirons encore le champ des partenaires pour renforcer notre pertinence sur les segments les plus bas du marché.

De plus, en qualité de Vice-Président de FERMA, je peux déjà vous annoncer que l’étude sera déployée selon les mêmes modalités dans 11 pays européens. Rendre cette étude pérenne nous permettra de monitorer régulièrement le marché du risque Cyber. L’AMRAE restera vigilante et mobilisée pour suivre dans le temps ce sujet porteur d’enjeux majeurs pour notre économie.