Derrière des chiffres 2022 plutôt positifs pour le marché de l’assurance cyber – qui a connu une hausse des souscriptions et une baisse des sinistres – se devine, en réalité, la frilosité des assureurs du secteur. Analyse.
Face au risque cyber, l’ambivalence des assurances
Marché redynamisé, loss ratio passé de 89 % à 22 %, soit son niveau le plus bas… 2022 a été une année positive pour le secteur de la cyberassurance après quatre années maussades, selon l’étude Lucy 2023 publiée par l’Amrae le 24 mai dernier. De 183 millions d’euros en 2021, le montant des primes s’est envolé à 316 millions d’euros en 2022. Le montant des sinistres, lui, chiffré à 164 millions d’euros il y a deux ans, est tombé à 71 millions en 2022. Les assureurs ont enregistré une augmentation générale des souscriptions, avec une hausse de 17 % chez les grandes entreprises, de 12 % chez les ETI et de près de 50 % chez les PME – bien qu’en proportion, seules 3 % de ces structures sont assurées pour le risque cyber, contre 98 % des grandes entreprises. Autant de données qui laissent entrevoir des signaux positifs pour le développement de la cyberassurance dans les prochaines années…
Frilosité
… En théorie. En pratique, l’expansion du marché de l’assurance cyber reste laborieuse. En cause : un encadrement juridique insuffisant et la tendance des assureurs à durcir les conditions de souscription des assurances selon un rapport de la direction générale du Trésor sur le développement de l'assurance du risque cyber paru en septembre 2022. Le premier point génère un flou juridique qui ne permet pas aux assurés de bien comprendre les modalités de couverture de la garantie cyber ; le second est alimenté par les difficultés des assureurs à quantifier le risque. Conséquence, les entreprises peinent à se plier aux standards requis par les assurances pour bénéficier d’une protection sur le secteur cyber. Les franchises ont d’ailleurs augmenté, à la fois chez les grandes entreprises, les PME et les ETI – ces dernières ont connu une multiplication par deux des montants. Autre constat : les grandes entreprises, qui sont les plus gros souscripteurs, restent sous-assurées.
Pour ce qui est des capacités, c’est-à-dire le montant maximum qu'une assurance est prête à assumer en couverture d’un risque, « il y a beaucoup de chemin à faire », selon Philippe Cotelle, administrateur de l’Amrae et président de la commission cyber. Entre leur baisse drastique des dernières années et la faible augmentation en 2022 – seulement octroyée aux grandes entreprises –, les assurances ne se montrent pas très ouvertes.
Mission prévention
Pour les prochains mois, les questions restent nombreuses. Il y a celle des raisons – non élucidées - de la faible sinistralité de l’année écoulée : heureuse coïncidence ou phénomène structurel ? Il y a celle de l’avenir des attaques cyber : vont-elles croître avec le développement de l’intelligence artificielle, voire devenir une arme de guerre ? Avec le risque, indique le Trésor dans son rapport, qu’un sinistre causé par une guerre ne soit pas couvert par les assurances.
On sait aussi que l’augmentation du nombre d’assurés entraîne une augmentation de la sinistralité dans les mois qui suivent la souscription. Résultat : les assureurs durcissent les conditions de souscription pour éviter un loss ratio trop élevé. Si les entreprises souscrivent de nouveau en masse, faudra-t-il s’attendre à un nouveau repli des assureurs ?
Pour l’heure, les attaques se sont stabilisées et l’on observe « un appétit renouvelé de la part des assureurs du secteur cyber », note Philippe Cotelle. De quoi, peut-être, encourager les entreprises à souscrire une assurance… Tant qu’elles gardent en tête que la meilleure des assurances, finalement, reste encore la prévention des risques.
Chloé Lassel