Les cyberattaques explosent et parfois le préjudice subi peut être considérable. Les entreprises n’hésitent plus d’ailleurs à communiquer sur les pertes financières après une cyberattaque : 220 millions d’euros de chiffre d’affaires pour Saint-Gobain en 2017, 62 millions pour le spécialiste de la bio-analyse Eurofins en 2019, plus de 40 millions pour le groupe Sopra Steria en 2020. Dans leur jargon, les assureurs évoquent des sinistres de très forte intensité. L’impact de ces sinistres XXL a été mis en évidence par l’étude sur la cyberassurance diffusée le 26 mai par l’AMRAE (association pour le management des risques et des assurances de l’entreprise) qui a synthétisé les données des principaux courtiers spécialistes des risques d’entreprise en France.
Ainsi sur le marché français, quatre cyberattaques - soit 1% de l’ensemble des cyberattaques enregistrées en 2020 ayant donné lieu à une indemnité - ont généré chacune entre 10 et 40 millions de versement d’indemnités! De quoi faire basculer dans le rouge l’activité de la cyberassurance française. L’an dernier, le montant des indemnités versées aux victimes a triplé à 217 millions d’euros, bien au-dessus des primes d’assurances récoltées de 130 millions d’euros. La bascule a été fulgurante puisque un an auparavant les primes (87 millions) couvraient largement les indemnités versées (73 millions).
Nouvelle frilosité des assureurs
L’AMRAE, inquiète de cette volatilité, alerte sur la situation. D’autant plus que les auteurs de l’étude s’attendent en 2021 à un doublement des attaques par rancongiciels, qui paralysent l’informatique des entreprises en chiffrant les données. Conséquence prévisible : les taux de primes d’assurance vont flamber. Ces taux ont déjà progressé de 20 à 30% en 2020. Pis encore, l’offre d’assurance risque de se réduire, notamment sur le segment des grandes entreprises, pour lequel les assureurs ont - pour la première fois en 2020 - versé près de deux fois plus d’indemnisation qu’ils n’ont perçu de primes.
"Les assureurs prêts à prendre le rôle d’apériteur du programme d’assurance cyber d’un grand compte (c’est-à-dire de monter en première ligne du programme) sont de plus en plus rares. Cette offre restreinte est un vrai frein au développement de l’assurance cyber", avertit le rapport de l’AMRAE. Les auteurs de l’étude appellent l’ensemble des acteurs, assureurs comme assurés, à faire preuve de plus de maturité. "Les entreprises et les collectivités publiques doivent améliorer la prévention et la protection de leurs systèmes d’information. Quant au marché de l’assurance, il doit devenir plus clair et plus lisible."
L'assurance, un levier parmi d'autres
Chacun a des efforts à faire. Les grandes entreprises d’abord. Surtout qu’à elles seules, elles génèrent plus de 80% du volume des primes. Si près de 9 sur 10 bénéficient d’un contrat d’assurances cyber, ce dernier est loin de correspondre à leur exposition réelle. La couverture moyenne se limite à moins de 40 millions d’euros, un chiffre à mettre en regard de leur chiffre d’affaires. "Pour une entreprise réalisant plus d’1,5 milliard d'euros de chiffre d’affaires, le coût d’un arrêt total de l’activité pendant un ou plusieurs jours se chiffre en millions d’euros. Auxquels s’ajoutent les coûts de gestion de crise, le risque de réputation, les éventuels frais de notification en cas de pertes de données, etc. On peut donc considérer que les grandes entreprises sont très nettement sous-assurées", constate l’étude.
Les ETI (entreprises de taille intermédiaire), et les PME sont également sollicitées pour revoir leurs pratiques. Elles ne se couvrent pas contre le risque cyber de la même façon qu'elles le font contre l’incendie ou les catastrophes naturelles. Moins de 10% d’entre elles bénéficient d’un contrat d’assurance cyber. En 2020, seulement 362 des 140 000 PME réalisant entre 10 et 15 millions d'euros de chiffre d’affaires ont souscrit une assurance cyber auprès de leur courtier. Les collectivités locales sont également sous assurées dans ce domaine.
Parmi ses recommandations pour se protéger contre le risque cyber, l’AMRAE conseille… de ne pas commencer par l’assurance, qui n’est qu’une composante parmi d’autres. L’association préconise de "prendre conscience de son exposition au risque cyber, identifier les risques et déployer des mécanismes de prévention, ce qui permet de ne transférer que les risques résiduels à l’assureur".
