Les cyberattaques contre les entreprises ne cessent d’augmenter, générant des préjudices financiers importants et risquant de désorganiser l’activité. Pour autant, alors que le marché de la cyberassurance s’est structuré, trop peu d’entreprises font le choix de se protéger.
L’Association pour le management des risques et des assurances de l’entreprise (AMRAE) tire la sonnette d’alarme, préconise aux entreprises de s’assurer sans tarder et demande aux assureurs de faire des efforts pour stabiliser ce marché, devenu rentable.
Le risque de cyberattaque n’a jamais été aussi élevé, pourtant, les entreprises s’assurent de moins en moins. L’Association pour le management des risques et des assurances de l’entreprise (AMRAE) a rendu publics fin mai les résultats de sa seconde étude dite LUCY, pour « LUmière sur la CYberassurance ». Celle-ci s’appuie sur les données anonymisées de 7 grands courtiers de l’Hexagone, couvrant 2 028 entreprises ou organisations – contre 1 879 pour l’édition précédente – ayant souscrit un contrat d’assurance cyber.
518 sinistres indemnisés en 2021
Si 518 sinistres ont été indemnisés en 2021 contre 328 en 2020, les entreprises assurées sont trop peu nombreuses. Certaines ont même résilié leur contrat. La faute… aux assureurs eux-mêmes selon l’AMRAE.
L’association professionnelle du risk management les accuse d’avoir provoqué une « crise de confiance » sur ce marché en devenir. Leur tort : avoir procédé à un « durcissement brutal des conditions » de souscription, à l’origine de renouvellements de polices « tempétueux », en fin d’année dernière. Les plus grandes entreprises en ont été les principales victimes en 2021.
Les ETI pourraient être les prochaines sur la liste, met en garde cette étude. Dans ce contexte, certaines entreprises renoncent à se couvrir alors même que leur exposition au risque augmente.
+44 % de primes et un excédent de 21,7 M€
En apparence pourtant, l’assurance du risque cyber a enregistré de solides performances en 2021. Les primes réglées par les entreprises (185,4 millions d’euros) ont bondi de 44,4 % en un an, le nombre de sociétés couvertes a franchi la barre des 12 000 (+37,9 %), porté par une ruée des plus petites d’entre elles (+48,5 % au sein des structures réalisant moins de 2 M€ de chiffre d’affaires). « Le marché est redevenu rentable » : le solde entre cotisations perçues et indemnisations versées affiche un excédent de 21,7 M€, contre -87 M€ en 2020. Un redressement spectaculaire, mais à quel prix ? s’interroge l’AMRAE.
Des franchises de 4 M€
Son enquête auprès de 9 acteurs du secteur et sur 2 028 polices d’assurance montre un sérieux durcissement des garanties proposées. Au point que l’association évoque une « purge » et un « traitement de cheval » ! Les assureurs ont notamment « engagé des mesures de redressement très fermes » sur le segment grands comptes.
Au programme, « l’instauration de très fortes franchises » à… « près de 4 M€ en moyenne ». Ces actions ont notamment eu pour conséquence de voir 11 grandes entreprises renoncer à leur couverture cyber en 2021. Les ETI ont également mis la main au portefeuille : sur ce segment, le taux de prime a progressé de plus de 56 % par rapport à 2020. Les PME ont été épargnées avec une baisse de 54 % de leur taux de prime.
Penser stabilité et long terme
L’AMRAE ne manque pas de souligner plusieurs risques. Pour l’association, « il est temps de revenir à une forme de stabilité et à une attractivité pour les entreprises », afin d’enrayer l’hémorragie sur le segment des grandes entreprises, essentielles pour le développement du marché. Et de souligner au passage que non seulement les ETI « ne sont pas à l’abri des sinistres d’intensité (plus de 10 M€ d’indemnisation », mais elles ne devraient pas échapper plus longtemps « à des mesures correctives en 2022 ». Surtout, elles « pourraient ne pas supporter la brutalité des mesures appliquées en 2021 » aux grands comptes.
L’AMRAE le rappelle : « le risque cyber est un risque de long terme ». Dès lors, tant les assureurs que les entreprises doivent l’appréhender dans le cadre d’une « politique de gestion de risque de long terme ».
Rappel : L’AMRAE (Association pour le Management des Risques et des Assurances des Entreprises) vient de terminer la deuxième édition de son étude « Lumière sur la cyberassurance » (Lucy). (Voir les résultats de la 1ère édition)