Les entreprises françaises peu assurées contre les cyber-risques

Selon les données recueillies dans le cadre de l’étude LUCY de 2021, « sur les 5 763 entreprises françaises réalisant entre 50 M€ et 1,5 Md€ de chiffre d’affaires, seulement 441 ont une couverture assurantielle contre le risque cyber », soit 8% des ETI qui sont assurées pour une couverture assurantielle moyenne de 8M euros. Et seules 362 PME sur 140 000 sont assurées, leur taux de couverture cyber s’élevant à 0.0026%.  

LES OBSTACLES A UNE BONNE COUVERTURE CYBER 

Les entreprises peinent à quantifier et à évaluer correctement les cybermenaces pesant sur leur organisme. A ce titre, il est primordial pour les sociétés, quelle que soit leur taille, de procéder à des évaluations des risques cyber afin de mieux connaître et d’appréhender ces menaces, et in fine, souscrire à l’assurance cyber la plus appropriée à leurs besoins. Cette sinistralité cyber est en effet difficile à chiffrer précisément - même si nous savons que son coût peut s’élever jusqu’à plusieurs centaines de millions d’euros : 220 millions d’euros de pertes pour le Groupe Saint-Gobain en 2017, 70 millions d’euros pour Eurofins en 2019, et 50 millions d’euros pour Sopra Steria en 2020, tous les trois victimes d’une cyberattaque. Pour cette raison, les dommages subis après une cyberattaque ne sont aujourd’hui pas tous automatiquement couverts par les assureurs sur le marché.  

Aussi, procéder à une évaluation de son exposition aux risques cyber permet à l’entreprise de remplir correctement le questionnaire de souscription soumis par les assureurs, l’AMRAE ayant soulevé le fait que ce questionnaire était de plus en plus détaillé, et qu’ainsi les conditions de souscription aux assurances cyber en ressortaient « de plus en plus restrictives ». 

Parallèlement, alors que le volume des primes sur le marché a augmenté de près de 49% en 2021 – 82% de ce marché étant porté par les grandes entreprises – les capacités souscrites ont quant à elles diminué de plus de 21% , et le coût des franchises a explosé. 

Face à ces constats, alors même que le risque cyber représente une réelle menace à ne pas négliger, il semblerait qu’en 2021 certaines entreprises aient renoncé à s’assurer. Pour 139 971 PME sur le marché français, 322 sont assurées en 2021 contre 362 en 2020, alors qu’une croissance des souscriptions avait été attendue au regard de l’augmentation des sinistres cyber.  

En effet, entre 2019 et 2020, les sinistres se sont largement intensifiés (les PME et TPE ayant enregistré en 2020 3 fois plus de sinistres qu’en 2019), et le montant moyen d’indemnisation a été multiplié par 6, passant de 31,8 M€ en 2019 à 201,5 M€ en 2020 . Pourtant, l’AMRAE souligne dans son rapport LUCY 2021 que les coûts d’indemnisation restent malgré cela limités à environ 40 000 €, et que seuls seuls 26 sinistres ont été indemnisés du côté des PME en 2021. Cette sous-couverture souligne une négligence de la prise en compte du risque cyber comme une réelle menace, mais aussi une entrave au développement des assurances cyber. 

 LA CONFIRMATION DE L’ORIGINE MALVEILLANTE DES ATTAQUES CYBER 

En plus de faire un état des lieux des difficultés présentes sur le marché de la cyber, l’AMRAE a démontré dans son rapport 2022 que la plupart des sinistres cyber est d’origine malveillante.