| Un marché étroit et instable | …très concentré sur les grandes entreprises | …principalement entre les mains des courtiers | Le cyber risque, une menace mal cernée par les entreprises | Des garanties peu utilisées
| Cyber attaques : des plaintes qui aboutissent rarement |
Dans la dernière cartographie des risques émergents réalisée par France Assureurs, les assureurs l’ont placé en tête des menaces identifiées par les assureurs, devant le dérèglement climatique et un environnement économique dégradé. Pourtant, ce marché se caractérise par une faible maturité : étroit, volatil, concentré sur un petit nombre d’assurés, il n’a pas encore trouvé son modèle.
Cyber Assurance : un marché étroit et instable
Le marché de la cyber assurance se caractérise d’abord par son étroitesse. Selon les derniers chiffres de l’Amrae, il a représenté en France pour 2022 un volume de primes émises de 316 millions d’euros pour 70 millions d’euros de sinistres.
Selon l’étude statistique de France Assureurs sur l’assurance des dommages aux biens des professionnels, le volume de primes sur ce segment a atteint 313 millions d’euros pour 2022. Un montant en forte hausse par rapport à 2021. Ainsi, selon l’Amrae, le montant des primes a augmenté de 72%. Pour France Assureurs, la hausse est de 43%.
France Assureurs recense 18.250 contrats (+32%), pour un nombre de contrats dommages aux biens professionnels de 5,48 millions, correspondant à un montant global de primes de 7,8 milliards d’euros. La cyber assurance représente ainsi à peine 4% du montant global des primes de l’assurance des dommages aux biens professionnels.
Selon l’étude LUCY (LUmière sur la CYberassurance) de l’Amrae (Association pour le Management des Risques et des Assurances de l’Entreprise) qui fait référence sur le sujet, la sinistralité se caractérise par une forte volatilité. Cette évolution erratique a conduit les assureurs à augmenter continuellement les primes. Ainsi, le ratio S/P (sinistres sur primes) est passé de 84% en 2019 à 167% en 2020 pour retomber à 22% en 2022. Ces chiffres illustrent la difficulté à bien appréhender le risque cyber et donc à opérer une tarification pertinente.
Par ailleurs, l’analyse est rendue difficile par l’étroitesse du marché. Avec un volume de sinistres de 217 millions d’euros, l’année 2020 a montré une forte accélération de la sinistralité, liée à seulement 4 sinistres de forte sévérité. La crise sanitaire a également joué un rôle, avec une forte augmentation du nombre de personnes travaillant à distance et donc une augmentation de l’exposition des entreprises.
Ainsi, en 2020, le montant des primes s’est révélé insuffisant pour couvrir les sinistres. Mais en 2022, avec l’augmentation des primes et la diminution des sinistres, le montant des primes peut apparaître cette fois excessif au regard du volume de sinistres indemnisés.
Reflet de la difficulté à appréhender le marché : les données de l’Amrae et celles de France Assureurs divergent sur le ratio S/P. Pour France Assureurs, il s’est élevé en 2022 à 40% quand l’Amrae le chiffre à 22% dans son étude LUCY. Cette différence pourrait notamment s’expliquer par la composition de l’échantillon retenu dans les différentes études et des sinistres pris en compte. De plus, la forte volatilité des primes (dont la prime moyenne est près de 12 fois supérieure à la prime moyenne des dommages aux biens professionnels) ferait énormément bouger ce ratio combiné.
Dossier Assurance cyber 2/5 – Cyber-risque : de quoi parle-t-on ? un lexique
La cyber assurance, un marché très concentré sur les grandes entreprises
Deuxième caractéristique du marché de la cyber assurance : sa concentration sur le segment des grandes entreprises. Selon le rapport LUCY de l’Amrae, les grandes entreprises occupent la quasi-totalité du marché français de la cyber-assurance (plus de 80%).
Ainsi, pour 281 grandes entreprises assurées en 2022, le nombre de sinistres indemnisés a atteint 47 (soit près de 17%) pour 43,1 millions d’euros d’indemnisation et 267 millions de primes versées. Cela représente un montant moyen de 918.154 euros par sinistre. Le ratio S/P ressort ainsi à un niveau historiquement bas, à 16,2%. Cela tient à une forte baisse de la sinistralité (- 51%) avec un niveau de menace cyber légèrement en baisse également (- 18%).
Sur le segment des entreprises de taille intermédiaire (ETI), les assureurs ont indemnisé 73 sinistres pour 591 entreprises assurées et 19,4 millions d’indemnisation. Ainsi, 12,3% des entreprises assurées ont été touchées, avec un montant moyen d’indemnisation de 266.018 euros par sinistre. La prime moyenne s’établit à environ 66.000 euros par entreprise sur ce segment. Le nombre d’ETI assurées a augmenté de 12% par rapport à 2021, une croissance en léger ralentissement. La baisse de la sinistralité par rapport à l’année précédente a permis au marché de retrouver la rentabilité avec un ratio sinistres/primes de 50,7 %.
Rentabilité dégradée sur le segment des entreprises de taille moyenne
La situation est moins positive pour les entreprises de taille moyenne. Le ratio sinistres/primes a atteint le seuil de 100 % en 2022, en raison d’une forte augmentation de la sinistralité (+ 405% de volume d’indemnisation versées en 2022). La croissance du nombre d’entreprises assurées et du volume global des primes n’a pas suffi pour couvrir cette hausse. Il est donc probable qu’à l’avenir les conditions d’accès à l’assurance cyber seront durcies pour ces entreprises (exclusion de garantie, application de franchise, fixation d’une LCI ou limite contractuelle d’indemnisation…).
A noter enfin l’émergence d’un marché des Très Petites Entreprises (TPE, ou Micro-Entreprise). Le rapport de l’Amrae distingue d’ailleurs désormais cette catégorie de celle des Petites Entreprises (PE). En 2022, 7684 entreprises réalisant moins de 2 millions d’euros de chiffre d’affaires ont ainsi souscrit une couverture cyber, pour un montant global de primes de 3,9 millions d’euros (+208%).
Cyber Assurance, un marché principalement entre les mains des courtiers
Selon l’étude statistique sur l’assurance des dommages aux biens des professionnels présentée de France Assureurs, plus de 95% du marché total de l’assurance cyber est porté par les courtiers.
Ces derniers remontent dans les études majoritairement des sinistres de forte sévérité de leur portefeuille (à cause de la dimension réassurance). Par exemple, l’étude LUCY recense majoritairement des réponses provenant des courtiers. Cela implique une sur-représentation des gros sinistres et biaise donc la comparaison que peut faire un assureur entre son portefeuille cyber et l’étude.
Dans l’étude réalisée par France Assureurs, ce sont majoritairement des assureurs qui ont répondu. Cela peut expliquer les divergences de chiffrages entre les deux études (notamment pour le ratio S/P).
Concentré sur les grandes entreprises, porté principalement par les courtiers, la cyber assurance pâtit surtout d’une difficulté à appréhender la réalité et l’envergure de ce nouveau risque.
Le cyber risque, une menace mal cernée par les entreprises
Le baromètre du CESIN, le Club des Experts de la Sécurité Informatique (CESIN), fait ressortir une conscience du risque cyber mais aussi une difficulté dans le recours aux couvertures spécialisées. Ainsi, parmi les 328 entreprises qui ont répondu au questionnaire du baromètre 2022, deux tiers ont souscrit une cyber assurance. Mais plus d’une sur dix hésite à renouveler sa police et 2 % des entreprises y ont déjà renoncé.
Un tiers des entreprises répondantes ne considère donc pas cette forme d’assurance comme une priorité. Cela peut être attribué à divers facteurs, tels que le manque de sensibilisation aux risques de cybersécurité, les contraintes budgétaires ou encore une confiance excessive dans les mesures de sécurité internes.
D’autre part, le fait que plus d’une entreprise sur 10 hésite à renouveler sa couverture cyber soulève des interrogations quant à la satisfaction ou à l’efficacité perçue de cette forme d’assurance. Les raisons de cette hésitation peuvent être multiples, allant de la complexité des polices d’assurance et des processus de réclamation à la perception d’une offre insuffisante en termes de couverture ou de services.
Ces constats soulignent la nécessité pour les assureurs de sensibiliser davantage les entreprises aux risques de cybersécurité et aux avantages de l’assurance cyber. Les assureurs doivent également être attentifs aux préoccupations et aux besoins des clients, en proposant des produits adaptés et en améliorant la transparence des offres.
Des garanties peu utilisées
Toujours selon le baromètre CESIN, les trois quarts des entreprises assurées n’ont jamais utilisé leur cyber-assurance. Dès lors, soit la couverture peut sembler inutile – notamment en l’absence de dommages-, soit la prévention et la gestion des risques de cybersécurité ont été efficaces, soit enfin les entreprises assurées n’ont pas pris conscience d’un sinistre ayant eu lieu.
Par ailleurs, la moitié des entreprises ayant utilisé leur cyber assurance ont jugé le processus compliqué. Cela peut indiquer un manque de clarté dans les polices d’assurance, des procédures de réclamation complexes ou une communication insuffisante entre l’assuré et l’assureur.
Des processus et une communication à améliorer
Ces conclusions soulignent l’importance pour les assureurs de simplifier et clarifier les processus liés à la cyber assurance. Une meilleure communication, des contrats plus transparents et des procédures de réclamation simplifiées peuvent contribuer à améliorer l’expérience client et renforcer la confiance des entreprises dans leur assurance cyber.
Il est également crucial que les entreprises qui souscrivent une cyber assurance comprennent clairement les conditions et les limitations de leur couverture, ainsi que les étapes à suivre en cas d’incident de cybersécurité. La sensibilisation, la formation et l’accompagnement des assurés dans la gestion des risques et des sinistres peuvent contribuer à faciliter le processus et à optimiser les avantages de la cyber assurance.
Cyber attaques : des plaintes qui aboutissent rarement
Le Baromètre CESIN révèle enfin que près d’une entreprise sur deux déclare avoir subi une cyber attaque en 2022. Parmi elles, 54% seulement ont déposé une plainte. Cela peut tenir à l’absence de dommages mais aussi au fait que l’identification des attaquants est particulièrement difficile.
La moitié des plaintes portent sur une attaque spécifique, l’autre moitié sur une série d’atteintes à la cybersécurité subie par une entreprise (hameçonnage, rançongiciels…). En déclarant tous les sinistres en une seule fois, les entreprises faussent ainsi les informations concernant la date d’apparition des sinistres. Cela affaiblit la pertinence des bases de données et rend difficile la mise en place de modèles précis de sinistralité.
Autre facteur susceptible d’expliquer la faible proportion de plaintes déposées : seulement 16% d’entre elles aboutissent à une identification du cyber agresseur. La majorité des cyberattaques restent donc non résolues ou non identifiées complètement. Cela peut être dû à la complexité des méthodes d’attaques, à l’expertise nécessaire pour retracer les cybercriminels, ou encore au manque de coopération internationale en matière de cybercriminalité.
Conclusion
Le marché de la cyber assurance reste donc encore embryonnaire. Le cadre réglementaire reste largement à construire pour offrir une orientation claire aux assureurs et aux assurés, mais aussi renforcer la confiance dans la création de produits d’assurance cyber. Ce sera l’objet du prochain volet de notre Dossier Cyber Assurance.