La cyberassurance commence à entrer dans les mœurs. Si le nombre de grandes entreprises souscriptrices a stagné depuis l’année dernière, les ETI et entreprises de taille moyenne ont accru leur souscription. Cependant, le volume de primes correspondant reste encore très faible comme l’atteste la quatrième édition de LUCY publiée par l’Amrae.
Les chiffres et les informations recueillies par cette étude permettent désormais d’établir des liens de corrélation et de considérer qu’une entreprise assurée est une entreprise qui gère bien son risque cyber.
Pour autant, le marché français de l’assurance cyber reste inscrit dans un schéma fragile et volatil : le volume des primes en France n’a évolué qu’à la marge depuis 2022, passant de 316 à 328 millions d’euros en 2023. Un montant qui pourrait être englouti par deux ou trois sinistres majeurs, dans un contexte géopolitique tendu.
L’exposition réelle au risque
L’accroissement des investissements de prévention en sécurité des systèmes d’information de ces dernières années porte ses fruits comme le confirme le Cesin. Conséquence, une sinistralité moindre en 2023, ce qui peut expliquer le retour à l’équilibre dans le ratio sinistres/primes que nous observons.
Malgré ces notes positives dans toutes les catégories d’entreprises, la vigilance reste de mise : les volumes de primes et de couvertures demeurent en deçà de l’exposition réelle au risque et témoignent d’un marché encore fragile et sous-assuré.
Dans ce rapport, nous apprenons le détail de primes collectées par année tous segments d’entreprises :
- 263,1 M€ pour les grandes entreprises (-1 % par rapport à 2022)
- 48,3 M€ pour les entreprises de taille intermédiaire (+27 %)
- 7,7 M€ pour les entreprises de taille moyenne (+73 %)
- 4,5 M€ pour les petites entreprises
- 3,8 M€ pour les micro entreprises
En revanche, les deux autres catégories d’entreprise enregistrent une importante augmentation du nombre de leurs assurés en 2023 :
- 47 % : évolution du nombre d’entreprises assurées de taille intermédiaire
- 194 % : évolution du nombre d’entreprises assurées de taille moyenne
Baisse générale de la sévérité
L’année 2023 enregistre une baisse conséquente du montant total de sinistres enregistrés :- Grandes entreprises : -45 %
- Entreprises de taille intermédiaire : -48 %
- Entreprises de taille moyenne : -68 %
Fait marquant sur cette année d’étude, le ratio sinistres/primes fait montre d’une évolution constante et marquée à la baisse depuis 2020 (avec une hausse du volume des primes souscrites passant de 87 à 130 millions en 2020, puis à 183 millions en 2021, et à 316 millions en 2022). Il passe de 22 % en 2022 à 12 % en 2023 avec un montant des primes établi à 328 millions.
Les entreprises de taille moyenne enregistrent de leur côté le même nombre de sinistres (0 % de variation), mais avec un montant qui diminue significativement bien que l’on compte deux fois plus d’entreprises assurées qu’en 2022 sur ce segment. Cette baisse générale de la sévérité est d’autant plus remarquable que le panel d’entreprises intermédiaires et moyennes assurées a nettement augmenté.
Enfin, le nombre d’entreprises de taille intermédiaire qui s’assurent demeure faible. Sur un tissu économique de 5 753 entreprises sur cette catégorie d’entreprises, 868 ont souscrit une assurance en 2023 soit 15 %.
Tous ces résultats peuvent paraître contradictoires avec ceux du « Panorama de la cybermenace 2023 1 » publié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) qui, au contraire, fait état d’un « niveau de la menace en constante augmentation » avec notamment un nombre total d’attaques par rançongiciel supérieur de 30 % en 2023 à celui relevé sur la même période en 2022.
Il faut, à ce sujet, garder à l’esprit que LUCY collecte uniquement les sinistres déclarés aux assureurs, il est donc envisageable que certains d’entre eux n’aient pas fait l’objet d’une déclaration (absence de couverture, sous franchise, etc.)… Deux incidents sur trois en moyenne ne font pas l’objet de déclaration d’assurance !
En conclusion, les attaques sont toujours aussi nombreuses, mais leurs conséquences économiques, quand elles réussissent, sont proportionnellement plus légères.
