Recevez chaque jour toute l'actualité du numérique

x

[Etude] Seules 8% des entreprises de taille intermédiaire sont couvertes par une assurance cyber

Étude Alors que leur business model est remis en cause, une étude met en lumière les dessous des cyber assurances. Qui est protégé, pour quels risques, pour quels sinistres... ? Voici les questions abordées par l'Association pour le management des risques et des assurances de l'entreprise pour la première fois. Principal enseignement : tandis que 87 % des grands groupes sont protégés, seules 8 % des ETI ont souscrit à une assurance cyber alors que les attaques par ransomware explosent.
Twitter Facebook Linkedin Flipboard Email
×

Seules 8% des entreprises de taille intermédiaire sont couvertes par une assurance cyber
[Etude] Seules 8% des entreprises de taille intermédiaire sont couvertes par une assurance cyber © TheDigitalArtist/Pixabay

Pour la première fois, une étude menée par l'Association pour le management des risques et des assurances de l'entreprise (AMRAE) lève le voile sur le paysage des cyber assurances. Baptisée "Lucy" pour "Lumière sur la cybersécurité", cette étude a vocation à "nouer un dialogue constructif au service d'une meilleure protection du tissu économique". 

Entre le 21 janvier et le 19 février 2021, les 1500 membres  de l'association appartenant à plus de 750 organismes privés et publics ont été interrogés. Huit courtiers spécialistes du risque d'entreprise – AON, Diot, Filhet Allard, Marsh, S2H, Verlingue, Verspieren, Gras Savoye-WillisTowerWatson – ont également participé à ces travaux.  

87 % des grandes entreprises couvertes
Cette étude révèle que les grandes entreprises, c'est-à-dire celles ayant un chiffre d'affaires de plus de 1,5 milliard d'euros, sont 87 % à avoir souscrit à une assurance cyber. Bien que ce chiffre soit important, leur couverture de 38 millions d'euros en moyenne est limitée au regard de leur exposition aux cyberattaques. 

Le constat est encore plus alarmant du côté des entreprises de taille intermédiaire (ETI). Seules 8 % d'entre elles ont souscrit à une assurance cyber pour une couverture de 8 millions d'euros en moyenne. Cette différence entre grandes entreprises et ETI est cependant assez logique car pour une entreprise ayant réalisé plus d'1,5 milliard d'euros de chiffre d'affaires, le coût d'un arrêt total de l'activité pendant un ou plusieurs jours se chiffre en millions d'euros. Auxquels s'ajoutent les coûts de gestion de crise, le risque de réputation, les éventuels frais de notification en cas de pertes de données... 

Un frein au développement du marché 
L'AMRAE en conclut que l'assurance contre le risque cyber n'a pas encore vraiment pénétré le tissu économique français. Or, cette sous-couverture fait courir des risques aux entreprises mais également à l'ensemble de leur écosystème (sous-traitants, fournisseurs, clients, partenaires commerciaux...). C'est aussi un frein au développement de l’assurance cyber. Faute de mutualisation, avec un historique de données disponibles limité, les assureurs peinent à trouver un modèle économique viable pour ces garanties, note l'étude. 

En 2020, le volume global des primes d'assurance versées par des entreprises françaises au titre des garanties contre le risque cyber a représenté 129,60 millions d'euros, contre 87,2 millions en 2019. Cette croissance est portée par l'amélioration du taux de couverture. En effet, le nombre d'entreprises assurées a augmenté de 35 % en moyenne. Cependant, ce nombre apparemment important n'est qu'une goutte d'eau "dans l'océan des 8,12 milliards d'euros de cotisations d'assurances des biens professionnels et agricoles", note l'AMRAE. 

Un taux de prime de 0,45 % pour les ETI
L'étude a également permis de calculer les taux de primes pratiqués en fonction de la taille des entreprises et de la capacité moyenne souscrite. Ainsi, pour les ETI, le taux de prime moyen est passé de 0,34 % en 2019 à 0,45 % en 2020. En revanche, elles continuent de payer leur couverture plus de deux fois plus cher que les grandes entreprises, dont le taux de prime moyen est passé de 0,93 % en 2019 à 1,03 % en 2020.

Cet écart peut s'expliquer par le fait que le périmètre de risques des ETI est a priori mieux contrôlé que celui des grandes sociétés car il est plus limité. De plus, les grandes entreprises recherchent des capacités plus importantes auprès des assureurs : des niveaux de couverture difficiles à trouver aujourd’hui sur le marché, estime l'association. 

Quel avenir pour la cyber assurance ? Ce marché ne pourra se consolider que si le nombre d'assurés augmente suffisamment pour créer les conditions de la mutualisation, analyse l'étude. Or, comment attirer davantage d'assurés quand les taux de cotisations et le niveau de franchises augmentent alors que les garanties s'amenuisent ?

Quel business model pour les assurances cyber ?
Et les questions sur ce marché ne s'arrêtent pas là. Son business model est remis en cause car pour les assureurs, le versement de la rançon coûte parfois moins cher que de payer l'indemnité au titre de la police d'assurance. Or, ce système est contre-productif puisqu'il renforce l'activité des hackers. A l'occasion d'une table ronde au Sénat, Guillaume Poupard, le patron de l'Agence nationale de la sécurité des systèmes d'information (Anssi), s'était dit inquiet du "jeu trouble de certains assureurs". Dans ce contexte, Axa France avait décidé de suspendre sa garantie "cyber rançonnage".

Du côté des solutions, la Commission supérieure du Numérique et des Postes (CSNP), un groupe parlementaire ayant pour mission de contrôler les activités postales et de communications électroniques, a recommandé de développer un dispositif de régulation du paiement des rançons soit pour l'interdire totalement, soit pour rendre obligatoire – sous couvert d'une protection du type "secret des affaires – la déclaration aux autorités françaises d'une demande de rançon.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.