La semaine passée, l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) annonçait la sortie d'une étude sur les cyber-assurances, notamment notamment pour permettre au marché de se battre contre sa volatilité et fournir aux Risk Managers et décideurs, des données objectives pour souscrire des garanties ou de placer une partie de ce risque dans une captive d'assurance. Cette étude a l'ambition d'être un premier juge de paix au regard d'études plus subjectives sur le marché de la couverture des cyber-risques, en particulier celle réalisée pour un cyber-assureur. Lundi, l'assureur Hiscox a d'ailleurs apporté des éléments de contexte pour mieux comprendre sa publication. L'étude de l'AMRAE en question vient de sortir et s'intitule Lucy (Lumière sur la Cyberassurance). Elle a été pilotée par Philippe Cotelle, administrateur de l'AMRAE, président de la commission Systèmes d'Information, et vice-président de Ferma (fédération européenne des gestionnaires de risques).
Cette étude n'est pas un sondage effectué sur un échantillon d'entreprises mais une étude quantitative et exhaustive de l'ensemble des entreprises françaises qui souscrivent un contrat d'assurance cyber par l'intermédiaire d'un courtier. L'étude Lucy est donc basée sur une enquête menée de manière collaborative auprès des courtiers spécialistes du risque d'entreprise (AON, Diot, Filhet Allard, Marsh, S2H, Verlingue, Verspieren et Gras Savoye-WillisTowerWatson), avec le soutien de Planète CSCA (syndicat professionnel des courtiers). Les courtiers n'ont transmis que des chiffres consolidés avec ventilation par taille d'entreprises afin de respecter la confidentialité de chaque dossier.
Trois enseignements majeurs
L'AMRAE note : « 87 % des grandes entreprises sont couvertes par un contrat d'assurance cyber, mais pour une couverture trop limitée (40 millions d'euros en moyenne) au regard de leur exposition. Face à la réduction de l'offre d'assurance cyber par les assureurs qui réduisent leur capacité, cela est une vraie source d'inquiétude car selon l'étude « les grandes entreprises représentent 82 % du volume de primes sur le marché de l'assurance cyber ». Moins d'offre d'assurance, un volume de prime stable et des sinistres qui ont tendance à augmenter, cela alimente le cercle vicieux de la volatilité et instabilité de ce marché.
Seulement 8 % des ETI sont assurées pour une couverture moyenne de 8 millions d'euros et malgré des taux attractifs, près de 2 fois inférieurs à celui des grandes entreprises. Favoriser une plus grande souscription d'une couverture d'assurance cyber des ETI et PME permettrait d'améliorer leur résilience et celle de notre économie mais également contribuerait à stabiliser le marché de l'assurance cyber globalement. La fragilité des ETI/PME/TPE est une menace pour l'ensemble de l'économie car un effondrement des sous-traitants a toujours des conséquences pour les donneurs d'ordres. L'AMRAE mesure un faible taux de souscription concernant le secteur public malgré une exposition réelle. Il faut cependant se rappeler du principe « l'État est son propre assureur » qui pourrait justifier une partie de cet état de fait.
Quatre sinistres qui défigurent les statistiques
L'enquête mentionne cependant une situation exceptionnelle en 2020 à cause de quatre sinistres « de forte intensité » (c'est à dire ayant entraîné de graves conséquences d'un point de vue assurantiel, entre 10 et 40 millions d'euros d'indemnisation chacun). De 2019 à 2020, le ratio sinistres/primes est ainsi passé de 84 % à 167 % (les assureurs ont donc versé en indemnisation 1,72 fois le montant des primes perçues). Pourtant, dans le même temps, le montant des primes encaissées par les assureurs a bondi : de 84 à 126 millions d'euros (+50 %).
Mais, à cause des quatre sinistres majeurs, le coût de la sinistralité s'est encore plus accru, passant de 73 à 217 millions d'euros (+197 %, pratiquement un triplement). Bien évidemment, un assureur n'a pas vocation à indemniser plus qu'il ne perçoit en primes. L'association constate donc, sur le marché, une tendance à la baisse des garanties et une augmentation des primes.
Une nécessaire prudence
L'AMRAE est cependant prudente sur les chiffres. Cette étude recense de manière exhaustive toutes les entreprises souscrivant une couverture cyber par l'intermédiaire d'un courtier mais pour les TPE, PME il est fréquent d'interfacer directement avec un assureur local ou un agent d'assurance. Ces données ne sont pas connues. L'AMRAE estime que l'essentiel du marché est constitué par les grandes entreprises et donc valide la crédibilité de cette étude mais travaillera dès l'année prochaine à améliorer cet élément.
Enfin, et l'étude de l'AMRAE insiste de tout son poids sur le sujet, la cyberassurance est une réponse par l'externalisation et la mutualisation à un ensemble de cyber-risques identifiés. Comme pour tous les risques, il convient d'abord d'identifier les cyber-risques, de mener des études pour pouvoir les maîtriser, les quantifier, les valoriser et y répondre. L'assurance n'est que la réponse finale lorsque l'entreprise choisit, en connaissance de causes, d'externaliser la couverture d'un risque. Parler d'assurance avant de maîtriser les risques à couvrir, c'est mettre la charrue avant les boeufs. Ce sujet sera sans doute abordé sur la CIO.expériences Résilience IT : garantir la continuité d'activité face aux crises organisée par CIO et diffusée le 15 juin 2021.