Le marché de l’assurance cyber n’a pas atteint la maturité

Il s’agirait de grandir. La conclusion d’une étude menée à partir des données de huit grands courtiers en assurances par l’Association pour le management des risques et des assurances de l’entreprise (Amrae) sur la souscription de l’assurance cyber sur les années 2019 et 2020 est limpide : «Pour juguler la menace, les assureurs comme les assurés doivent monter en maturité.» Car, si le volume des primes a augmenté de 49% en 2020 pour atteindre 130 millions d’euros, celui des sinistres a lui triplé à 217 millions d’euros, faisant mécaniquement passer le ratio sinistres sur primes de 84% à 167%. Parmi les 228 sinistres identifiés en 2020, quatre seulement constituent à eux seuls deux-tiers des indemnisations totales et près du double de celles de 2019.

La sous-couverture empêche la mutualisation des risques

Cela trouve son origine dans une sous-couverture du risque cyber. Si 87% des grandes entreprises (plus de 1,5 milliard de chiffre d’affaires) sont bien couvertes, elles ne le sont en moyenne qu’autour de 38 millions d’euros. Les entreprises de taille intermédiaire (entre 50 millions de chiffre d’affaires et 1,5 milliard) ne sont que 8% à souscrire une telle assurance pour un niveau moyen de 8 millions d’euros. Les PME ferment la marche avec un taux de couverture quasi nul de 0,0026%.

Pour justifier ces niveaux, les entreprises mettent en évidence les coûts de l’assurance : le taux de prime moyen (volume total des primes sur capacité moyenne souscrite) est passé de 0,34% en 2019 à 0,45% en 2020 pour les ETI et 0,49% à 0,71% pour les PME.

Pour Pierre Bessé, PDG de Bessé, qui conçoit des solutions dans le domaine depuis 2016 : «Ce sujet tient en une mauvaise connaissance du risque : il s’agit d’un risque nouveau dont on croit qu’il n’arrive qu’aux autres. Par ailleurs, les solutions d’assurance ne sont viables que si le pilotage du risque et la prédiction du risque en interne sont satisfaisants, ce qui n’est souvent pas le cas.»

Arnaud Deschavanne, responsable de l’activité Cybersécurité de Magellan Consulting, corrobore : «La sécurité a longtemps été un parent pauvre de la sécurité informatique. On préfère généralement aller de l’avant plutôt que de sécuriser de vieux services vulnérables.» Pour autant, il émet un avis plutôt négatif sur les assurances : «Elles ont des critères d’éligibilité qui n’assurent que des systèmes d’information à jour, donc qui ne nécessiterait pas d’assurance.» C’est pourquoi Philippe Cotelle, risk manager d’Airbus Defense and Space et administrateur de l’Amrae, craint «un cercle vicieux avec une réduction de l’offre sur le marché et une hausse des sinistres».