En mettant des chiffres sur les niveaux de couverture assurantielle et de sinistralité des entreprises et des collectivités publiques, l’étude met en lumière l’immaturité du marché de l’assurance cyber.
Le marché de l’assurance du risque cyber est une tendance récente, née de la nécessité de protéger ses actifs des cybermenaces. L’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE) vient de publier la première étude sur le risque cyber et sa couverture assurantielle. La cyberassurance continue de représenter une part modeste de l’exposition globale pour le secteur de l’assurance multirisque et les assureurs individuels.
Menée en partenariat avec huit grands courtiers spécialistes du risque d’entreprise, l’étude, baptisée LUCY (LUmière sur la Cyberassurance,) révèle que le marché est encore immature. Selon le rapport, « l’assurance cyber n’a pas encore trouvé son équilibre : avec un taux de couverture des entreprises et un volume de primes encore trop limités, les assureurs ne parviennent pas à trouver les conditions de la mutualisation indispensable au règlement des sinistres de forte intensité ».
En fait, l’industrie de l’assurance peine à trouver l’équilibre économique des contrats de garantie cyber : « après une course à la souscription, les assureurs marquent le pas devant l’ampleur du risque à couvrir ». Le marché américain, qui est un peu plus mûr, montre que les taux des primes cyber sont en augmentation constante. « Mieux vaut donc se préparer à des tensions inflationnistes sur le marché européen », prévient le rapport.
Une sinistralité et des primes en forte augmentation
Face à une sinistralité en forte augmentation, l’étude fait apparaître une augmentation du volume de primes de 49 %, qui est passé de 87 M€ en 2019 à 130 M€ en 2020. Mais cette croissance est très inférieure à celle du montant des indemnisations versées qui a été multiplié par 3, passant de 73 M€ en 2019 à 217 M€ en 2020.Pour les assureurs, le ratio Sinistres sur Primes (S/P) est donc passé de 84 % à167 %.
Cette inflation n’est due qu’à 4 sinistres, qui ont coûté entre 10 M€ et 40 M€ d’indemnisation chacun, déclarés par de grandes entreprises. Sans ces 4 sinistres, qui ne représentent que 1 % des sinistres indemnisés en 2020, les résultats auraient été identiques à ceux de 2019.
Ces données permettent de mieux comprendre les tensions en cours sur le marché de l’assurance cyber. « Les entreprises se voient actuellement proposer des réductions de garanties pour des tarifs plus élevés. Sans doute à juste titre dans certains cas, mais certainement pas dans tous les cas », explique le rapport.
Les ETI et des collectivités publiques sous-assurées
Quant au type d’entreprises qui sont assurées, la disparité entre grands comptes et ETI est flagrante. Si 87 % des grandes entreprises sont couvertes par un contrat d’assurance cyber, mais pour une couverture trop limitée (38 M€ en moyenne) au regard de leur exposition, les ETI ne sont que 8 % à être assurées pour une couverture moyenne de 8 M€.
Sur le marché des moyennes et petites structures, le véritable enjeu est de sensibiliser les entreprises au risque cyber. En 2019, les indemnisations versées aux ETI et aux PME ont représenté plus de 40 M€. Les collectivités publiques sont, elles aussi, très largement sous-assurées alors que leur exposition est réelle, comme les nombreuses attaques enregistrées depuis le début de l’année le montrent. Les entreprises et les collectivités publiques ont besoin de garanties réellement protectrices et sur-mesure, à des tarifs adaptés et lissés dans le temps. Dans une conjoncture déjà difficile, elles ne peuvent pas prendre le risque de voir leur prime exploser au moindre sinistre.
La quadrature du cercle de l’assurance cyber
En somme, le marché de l’assurance cyber est encore immature. Les assureurs resteront réticents tant que le volume global de primes ne leur permettra pas de faire face aux sinistres de haute intensité. « Il faut donc que la demande augmente pour que l’offre soit suffisante. Ou que l’offre soit suffisante pour susciter la demande… Il y a urgence à sortir de ce cercle vicieux : les grandes entreprises représentent82 % du volume de primes sur le marché de l’assurance cyber », affirme le rapport. La quadrature du cercle en définitive.
« Pour les assureurs, l’équilibre technique et financier du risque cyber repose à la fois sur une meilleure mutualisation et sur le développement des stratégies de prévention dans les entreprises et les collectivités publiques », conclut Oliver Wild, président de l’AMRAE.