Le marché de la cyber-assurance poursuit son
développement en 2023, en cohérence avec l’année précédente. En revanche, la
croissance est particulièrement spectaculaire pour les entreprises de taille
moyenne qui se sont ruées sur ses contrats attendus.
L’Amrae (association pour le management des
risques et des assurances de l’entreprise) a publié à la fin du mois de mai
2024 son quatrième rapport, nommé « Lucy » (Lumière sur la Cyber-assurance).
Grâce au partage de données de courtiers, d’assureurs et d’agences de
souscription, l’association a pu dresser un état des lieux de l’évolution du
marché de la cyber-assurance des entreprises. Pour rappel, une cyber-assurance
permet une couverture financière en cas de cyber-attaque. Elle propose
également « des solutions de support en gestion de crise », en
mettant à disposition des experts juridiques, en communication et en sécurité
numérique des entreprises.
Un
marché en développement encore volatil
Dans la même lignée que 2022, le marché de la
cyber-assurance a, en 2023, enregistré une poursuite de la réduction des
sinistres, aussi bien au niveau de leur montant que de leur fréquence. Le
rapport de l’Amrae constate qu’un effort de prévoyance et de protection par les
entreprises s’est poursuivi. De ce fait, en 2023, « aucune grande
organisation n’a subi de crise majeure et aucun sinistre supérieur à 10
millions d’euros n’a été enregistré », indique Philippe Cotelle, le
président de la commission Cyber de l’Amrae et chargé du pilotage de l’étude.
Mais cette croissance du marché de la
cyber-assurance a eu lieu avec une intensité plus faible que les années
précédentes, puisque les grandes entreprises (avec un chiffre d’affaires
supérieur à 1,5 milliard d’euros) n’ont pas augmenté leur budget alloué à ce
type de souscriptions. Ainsi, en 2023, le volume total des primes payées par
les entreprises souscriptrices s’établit à 328 millions d’euros, contre 316
millions d’euros, en 2022. Selon Philippe Cotelle, « le marché français
de l’assurance cyber reste inscrit dans un schéma fragile et volatil ».
Il pourrait rapidement « être englouti par deux ou trois sinistres
majeurs, dans un contexte géopolitique tendu », ajoute-t-il.
Le président de la commission Cyber de l’Amrae
fait ici référence aux actuels conflits russo-ukrainiens et moyen-orientaux,
durant lesquels les cyber-attaques étrangères prospèrent. Il faut aussi
intégrer une année 2024 électoralement forte qui comporte aussi son lot de
risques de cyber-attaques, comme le rappelle Olivier Wild, le président de
l’Amrae : « Plus de la moitié de la population mondiale est invitée à voter, les opportunités sont fortes pour les cyber-attaquants de toutes natures
et origines d’influer sur ces élections, de peser sur leurs résultats ».
Des
souscriptions en dents de scie, selon la taille des entreprises
Autre indicateur permettant d’analyser l’état de
santé du marché de la cyber-assurance : le niveau de souscription des
entreprises. Ainsi, les grandes entreprises « agissent à budget
constant », relève le rapport « Lucy ». Elles étaient 281 entreprises
souscriptrices en 2022, et sont 280 à souscrire, en 2023. Philippe Cotelle
commente ce statu quo des grandes entreprises : « Le
marché s’étant assoupli, il en a résulté une baisse des taux qui les a
conduites à augmenter légèrement leurs achats en termes de capacité pour le
même budget, sans aller au-delà, ce qui explique que la prime n’a pas bougé ».
Il précise que « les contraintes budgétaires ont eu un poids fort »
sur la couche économique des grandes entreprises, entrainant la stabilité de
leur niveau de souscription.
De leur côté, les entreprises intermédiaires
(avec un chiffre d’affaires compris entre 50 millions et 1,5 milliard d’euros)
ont augmenté leurs souscriptions à hauteur de 47%, en plus d’une hausse du
volume de leurs primes, d’environ 10 millions d’euros. Pour l’Amrae, cette
nouvelle catégorie de sociétés dispose d’un important potentiel car « environ
15 % [d’entre elles] seulement s’assurent aujourd’hui ». Pour les
moyennes entreprises (avec un chiffre d’affaires compris entre 10 millions et
50 millions d’euros), la hausse des souscriptions est d’autant plus forte, avec
une augmentation de 73%. En revanche, le volume des primes n’augmente que de 3
millions d’euros, en 2023.
Des
sinistres enregistrés à la baisse…
S’agissant
des sinistres sur l’année 2023, les cyber-assurances ont déboursé 38 millions
d’euros d’indemnisations, contre 71 millions d’euros en 2022, soit une baisse
de 46%. Autre indicateur permettant d’analyser le développement positif du
marché de la cyber-assurance : le rapport prime sur sinistre. Cette statistique
permet d’évaluer les performances financières du marché et la viabilité des
contrats de cyber-assurance. De ce fait, plus le ratio est bas, plus le marché
est viable. En 2023, ce ratio se porte bien puisque les cyber-assurances n’ont
pas été contraintes de débourser plus d’argent, par rapport aux primes payées
par les entreprises souscriptrices. Le rapport sinistre sur prime a quasiment
été divisé par deux, passant de 22% en 2022, à 12% en 2023.
Les moyennes entreprises sont celles qui
enregistrent la plus forte baisse d’indemnisation de sinistres (-68%), malgré
une fréquence stable des sinistres déclarés, en 2023. Mais si la fréquence des
cyber-attaques déclarées reste stable, « l’impact associé a quant à lui diminué », précise le rapport. En revanche, du côté des grandes
entreprises, celles-ci déclarent une baisse de la fréquence des sinistres, à
hauteur de 40%. De plus, elles n’ont déclaré aucun sinistre de grande
envergure, pour l’année 2023. Cette tendance se poursuit aussi chez les
entreprises intermédiaires qui ont vu leurs nombres de sinistres déclarés
passer de 73 à 46 sur l’année, en plus d’une baisse de leur sévérité.
…
qui ne signifient pas pour autant une baisse des cyber-attaques
Même si les chiffres sont rassurants quant au
niveau de couverture des entreprises, ceux-ci ne signifient pas nécessairement
que les cyber-attaques sont à la baisse. Selon le rapport « Panorama de la
Cybermenace » de 2023, réalisé par l’Agence nationale de la sécurité des
systèmes d’information (ANSSI), « les attaques à finalité lucrative se
sont maintenues à un niveau élevé en 2023 ». Le rapport révèle que le
nombre d’attaques par rançongiciel « est supérieur de 30% à celui
constaté sur la même période en 2022 ». 34% des victimes de ces
attaques à but lucratif sont des TPE, des PME et des ETI.
Pour l’Amrae, les données du rapport Lucy, qui
peuvent paraître contradictoires avec le rapport de l’ANSSI, doivent être
appréhendées dans leur contexte : « Lucy collecte uniquement les
sinistres déclarés aux assureurs, il est donc envisageable que certains d’entre
eux n’aient pas fait l’objet d’une déclaration ». Une absence de
déclaration qui s’explique par une franchise trop élevée par rapport au
sinistre subi. Selon Philippe Cotelle, si la sévérité des sinistres enregistrés
diminue, ce phénomène s’explique par « le développement et l’efficacité
combinée des pratiques de prévention ». Il poursuit : « Les
attaques sont toujours aussi nombreuses, mais leurs conséquences économiques,
quand elles réussissent, sont proportionnellement plus légères ».
En
2023, le nombre de cyber-attaques « reste stable », malgré la recrudescence des
attaques en déni de service
Selon
la neuvième édition du baromètre du Cesin, étudiant l’année 2023, 66% des
entreprises interrogées considèrent que le nombre d’attaques est resté stable,
même si les tentatives d’attaques ont, quant à elles, augmenté. En revanche,
moins d’une entreprise sur deux déclare avoir subi une cyberattaque avec des
répercussions significatives. Un autre chiffre est préoccupant : 34% des
entreprises interrogées ont subi au moins une attaque en déni de service, soit
une augmentation de 11 points par rapport à 2022. Il s’agit d’attaques
provoquant une panne de fonctionnement des services informatiques d’une
entreprise. Ces sinistres sont peu déclarés aux cyber-assureurs, ce qui
explique la différence de résultats avec le rapport de l’Amrae.
Pour autant, les entreprises sont de plus en plus
conscientes des risques cyber qu’elles encourent. Par exemple, 7 entreprises
sur 10 interrogées ont souscrit à une cyber-assurance et 57% d’entre elles
comptent renouveler leur contrat, selon le Cesin. Pour Mylène Jarossay, la
présidente du Cesin, « la maturité des entreprises a certainement
augmenté et il est possible que les solutions aient été mieux déployées,
intégrées et opérées, apportant davantage d’efficacité ». Elle ajoute
: « Les entreprises organisent mieux leur cyberdéfense et leur réponse
aux attaques. Elles montrent une meilleure résistance face aux incidents.
Certains « départs de feu » sont vite maitrisés ».
Mais Mylène Jarossay nuance son propos. Pour
elle, rien n’est acquis en matière de cybersécurité, puisque les techniques de
cyberattaques évoluent constamment. À l’avenir, les entreprises devront se
focaliser sur l’intégration de l’intelligence artificielle dans les protocoles
de sécurité. Cette technologie est à la fois un outil à mobiliser au service de
la cybersécurité et un risque. « L’intelligence artificielle générative
connaît une croissance fulgurante, et nous commençons à voir des deepfakes
malveillants provoquer de sérieux impacts », conclut Mylène
Jarossay. Les entreprises devront donc rester alertes quant à
l’utilisation malveillante de cette technologie et renforcer leurs protocoles
de protection en ce sens.
Inès
Guiza