Le sujet de l’assurance cyber va préoccuper de nombreux risk managers au cours des prochains mois. Alors que bon nombre de contrats arrivent à échéance au 1er janvier, l’heure est aux préparatifs dans les entreprises. "Un renouvellement s’anticipe au moins six mois à l’avance, en particulier quand le marché est compliqué", confirme à L’Usine Nouvelle Philippe Levrat, directeur risques, éthique et assurances de Transdev.
Cet opérateur de transports publics de voyageurs a renouvelé son assurance au 1er juillet (lire ci-dessous). Pour les autres, les négociations s’annoncent animées. Le marché des assurances cyber est sous tension. "La hausse des primes, pour les grands comptes sans sinistre préalable, est comprise entre 50 et 150% sur un an. Et bien au-delà, quand l’entreprise a déjà subi une cyberattaque", observe Laure Zicry, responsable des assurances cyber pour l’Europe de l’Ouest chez le courtier Willis Towers Watson.
La spécialiste évoque une hausse de 20 à 50% pour les PME et les ETI. Sur le premier semestre, le courtier Marsh a enregistré de son côté une hausse moyenne des cotisations comprise entre 40 et 45%. "La tendance devrait rester à la hausse au deuxième semestre", anticipe Jean Bayon de la Tour, responsable du cyber pour l’Europe continentale chez Marsh.
Un réveil brutal
Cette situation s’explique par un revirement du marché de l’assurance cyber, qui a débuté fin 2019 en France. Jusqu’alors, ce marché était rentable pour les assureurs. Le réveil a été brutal, avec une vague de rançongiciels (ransomwares) à l’origine de très coûteux sinistres. A tel point que les assureurs ont versé l’année dernière plus d’indemnisations qu’ils n’ont reçu de primes.
Résultat: l’année 2021 est marquée par une forte réaction du marché sur les taux des primes, les franchises, les garanties couvertes et les exigences réclamées par les assureurs auprès des entreprises. "Ces derniers jouent sur tous les leviers pour retrouver cette rentabilité", constate Jean Bayon de la Tour.
Ainsi, les franchises "atteignent plusieurs centaines de milliers d’euros pour les grands comptes, et jusqu’à quelques millions pour les entreprises du CAC40, illustre Laure Zicry. Pour les PME et ETI, le coût de la franchise a doublé, voire quintuplé pour certaines entreprises, en un an".
Les ETI plus concernées?
Des clients ont conscience du risque, mais pas du budget nécessaire pour renforcer leur sécurité informatique et prendre une assurance
— Laure Zicry, responsable des assurances cyber pour l’Europe de l’Ouest chez Willis Towers Watson
Pour Jean Bayon de la Tour, ce sont les ETI qui souffrent le plus de la situation. "Auparavant, elles étaient cotées comme de grosses PME. Désormais, elles le sont plutôt comme de petits grands groupes", justifie-t-il. Chez Willis Tower Watson, Laure Zicry constate que dans un contexte de crise, "des clients ont conscience du risque, mais pas du budget nécessaire pour renforcer leur sécurité informatique et prendre une assurance".
Un propos nuancé par Philippe Cotelle, administrateur de l'Association pour le management des risques et des assurances de l'entreprise (Amrae) et risk manager chez Airbus Defence and Space. "Le coût de l’assurance cyber reste encore relativement modéré. En 2020, on pouvait estimer autour de 30 000 euros le montant des cotisations payées en moyenne par une entreprise avec un chiffre d’affaires de 100 millions d’euros pour une couverture de 2,5 millions d'euros. Aujourd’hui, même en multipliant ce montant par deux, cela vaut encore le coup", souligne le spécialiste.
Capacités d'assurance des grandes entreprises
Il y a encore de la pédagogie à faire pour pousser les PME et ETI à prendre en charge la gestion de ce risque. Malgré la hausse des prix, "la cyberassurance a encore une valeur ajoutée. On voit des PME faire banqueroute après des cyberattaques", abonde Jean Bayon de la Tour.
En cette deuxième partie de l’année, c’est surtout le reflux des capacités d’assurance pour les grandes entreprises qui inquiète l’Amrae. Jusqu’en 2019, il suffisait généralement de quatre assureurs pour qu’une entreprise se couvre contre le risque cyber à hauteur de 100 millions d’euros, soit une offre de 25 millions d’euros par assureur.
Aujourd’hui, le maximum proposé par chaque assureur s’élève plutôt à cinq, voire dix millions d’euros. "On se retrouve parfois à devoir trouver 20 assureurs pour couvrir un tel risque. Il faut aller en chercher ailleurs en Europe, mais aussi aux Bermudes ou au Moyen-Orient", témoigne Jean Bayon de la Tour.
Œuvrer en amont de la négociation
Cette tendance vaut particulièrement pour les garanties à actionner à la suite d’une attaque par un rançongiciel. "Il s’agit par exemple de la perte d’exploitation, de l’intervention de la société de cybersécurité pour identifier, voire restaurer, les données compromises, des frais de notification découlant de l’obligation imposée par le RGPD de prévenir la Cnil et les personnes concernées, ou encore de l’indemnisation éventuelle des clients", énumère Laure Zicry.
"Certains assureurs imposent même à l’assuré une clause de coassurance. Pour une couverture à hauteur de 10 millions d’euros par exemple, ils en proposent cinq millions et l’entreprise devient son propre assureur pour les cinq millions restants. C’est aussi une façon pour eux d’impliquer davantage les assurés", ajoute la responsable des assurances cyber.
Hausse des exigences
Un quart de nos clients ne sont plus assurables. Il faut œuvrer en amont de la négociation pour présenter un profil de risque assurable
— Jean Bayon de la Tour, responsable du cyber pour l’Europe continentale chez Marsh
Pour se prémunir, les assureurs placent également la barre de plus en plus haut pour leurs exigences en matière de sécurité informatique. Des questionnaires spécifiques portant sur les défenses des entreprises face aux rançongiciels ont vu le jour. De quoi faire frissonner les spécialistes du marché. L'Amrae craint la restriction de l'accès des PME à l'assurance.
"Un quart de nos clients ne sont plus assurables, s’inquiète Jean Bayon de la Tour. Il faut donc œuvrer en amont de la négociation pour pouvoir présenter un profil de risque assurable". Déploiement d’une protection sur l’ensemble du périmètre du système informatique, sauvegardes hors ligne, antivirus EDR de nouvelle génération, mécanismes d’authentification à plusieurs niveaux… De nombreuses options concrètes existent.
Une année 2022 "moins pire"
Face aux difficultés, les groupes se tournent de plus en plus vers leurs captives d’assurance pour couvrir leurs risques. Une telle structure prend la forme d’une compagnie d’assurance ou de réassurance, qui est une filiale du groupe. "Ce format a été multiplié par trois sur le risque cyber chez Marsh en 2020", affirme Jean Bayon de la Tour.
Quid de l’avenir? "Les assureurs semblent retrouver une rentabilité, donc 2022 devrait être moins pire", estime Jean Bayon de la Tour. Quant au risque cyber, il ne devrait pas s’amenuiser. La transformation numérique de nombreux secteurs, comme les transports avec les véhicules autonomes, présage au contraire d’une convergence des risques vers un risque cyber systémique.
