Le secteur de la cyber assurance a retrouvé des couleurs en 2022. Très alarmiste, il y a un an, sur la pérennité de ce marché naissant, l’Amrae se montre, aujourd’hui, beaucoup plus rassurante dans son dernier rapport. Sans pour autant s’emballer, tant le semblant d’équilibre, atteint, l’année dernière, par les assureurs, paraît fragile, face à une menace "volatile", qu’ils peinent parfois encore à saisir.
L’assurance cyber de plus en plus rentable
Cette prudence de l’association professionnelle pour le management des risques de l’entreprise tranche pourtant avec les résultats qu’elle a collectés auprès de onze acteurs du secteur. Son analyse de leurs quelque 9 672 polices d’assurance contre les attaques informatiques montre un bond aussi bien du nombre d’entreprises couvertes (+25 % en un an, et même +53 % du côté des TPE-PME), que des primes versées pour cette protection (+72 %, soit un total de 315 millions d’euros versés, au plus haut depuis le début de cette étude en 2019).
Mieux, la rentabilité est au rendez-vous pour les compagnies d’assurances, avec une différence entre les cotisations collectées et les indemnités versées largement en leur faveur (+245 M€, quasiment 13 fois plus que l’excédent 2021). De quoi tourner la page de l’annus horribilis 2020, déficitaire de 87 M€.
Les attaques informatiques en net recul
Mais, comme dans le bilan annuel précédent de l’Amrae, les apparences restent toujours aussi trompeuses. D’abord parce que ce bon résultat tient surtout à un net et surprenant reflux des cyberattaques. Le montant des dédommagements versés a ainsi fondu de 57 % en un an (au plus bas depuis 2019), avec, par exemple, un seul piratage de grande ampleur à déplorer dans les grandes entreprises et les ETI (contre 6, l’année précédente).
Simple coup de "chance" ? L’association ne l’écarte pas totalement et préfère rester sur ses gardes. Son président Olivier Wild rappelle ainsi que "le volume des primes encaissées en France, tous assurés confondus, reste faible : il correspond à l’équivalent d’un seul sinistre important". Autrement dit, il suffirait d’une seule attaque massive pour engloutir les cotisations d’une année entière et faire à nouveau dérailler le marché.
« Aujourd’hui, de nombreuses cyberattaques sont bloquées, ou contenues, avant d’avoir produit des dégâts significatifs. »
Mais quand bien même le niveau de la menace demeure, dans le contexte de la guerre en Ukraine et avec l’essor de l’intelligence artificielle, l’Amrae préfère quand même voir le verre à moitié plein : pour elle, l’accalmie des sinistres en 2022 serait plutôt le fruit des efforts de prévention et de préparation des entreprises face au risque informatique. "C’est la défense qui progresse, appuie d’ailleurs Mylène Jarossay, présidente du Club des experts de la sécurité de l’information et du numérique : de nombreuses attaques sont bloquées, ou contenues, avant d’avoir produit des dégâts significatifs."
Les TPE-PME désormais dans l’œil du cyclone
Il n’en reste pas moins que dans la bataille livrée par les pirates aux entreprises, les TPE-PME font plus que jamais figure de maillon faible. Et pour cause : à rebours des plus grandes sociétés, les attaques ont, dans leur cas, vivement bondi en 2022, avec un montant d’indemnisation quasiment multiplié par deux (soit un total de 4,5 M€, autant que les cotisations versées). Et si les sinistres enregistrés ont été très peu nombreux (10 recensés par l’étude), leur coût moyen s’est avéré très lourd (450 000 €, près de 2 fois plus que pour les ETI). Dans ces conditions, pas de miracle : les PME doivent s’attendre à subir "une grande bascule" en 2023-2024. L’Amrae leur prédit en effet un net durcissement à venir de leurs polices de cyber assurance, sur un marché déjà mal adapté aux petites structures.
À vrai dire, ce vaste mouvement de rationalisation semble déjà bien enclenché : en 2022, les franchises ont été relevées de 47 %, les "capacités" proposées (montants maximaux couverts) abaissées de 13 % et les prix gonflés de 27 % pour les PME ! Autres leviers à la main des compagnies pour continuer à "nettoyer leur portefeuille" : limiter les garanties ou l’accès à leurs offres.
Ce traitement de choc, les assureurs l’ont déjà appliqué aux plus grandes sociétés dès 2020, et aux ETI l’année suivante. C’est à ce prix que le marché est parvenu à se rééquilibrer, reconnaît aujourd’hui l’Amrae. Mais c’est aussi à ce titre que l’association s’était alarmée, l’an passé, d’un risque de désengagement des entreprises, confrontées à des polices trop coûteuses ou trop restrictives face à une menace cyber pourtant élevée et persistante. Faut-il y voir un signe ? Seule 1 ETI sur 10 est aujourd’hui couverte par une assurance cyber, signale l’étude. En hausse de 12 % sur un an. Bien trop peu, vu le potentiel de ce marché, cingle l’association professionnelle du risk management.
