Assurance cyber
Des conditions plus attractives pour les entreprises
Encore peu développé, le marché de l’assurance contre le risque cyber l’est d’autant moins que la multiplication des sinistres au cours des dernières années a conduit les assureurs à réduire leurs niveaux de couverture, tout en augmentant sensiblement les prix. D’après les spécialistes du secteur, cette année 2023 est toutefois marquée par une inflexion dans ce domaine.
La chaîne de magasins de prêt-à-porter pour hommes Jules, les enseignes Intersport du Nord-Pas de Calais, la Cartonnerie Gondardennes… Quelques semaines avant la Mairie de Lille, plusieurs entreprises régionales ont fait l’objet d’une attaque informatique. Si celles-ci sont parvenues à surmonter cet épisode, toutes n’ont malheureusement pas cette chance. «Dans un récent rapport consacré au sujet, le Sénat faisait référence à diverses études internationales montrant qu’une PME sur 2 fait faillite dans les 18 mois suivant une cyberattaque réussie», souligne Charlotte Couallier, co-fondatrice de l’agence de souscription spécialisée sur le risque cyber et les cyberattaques contre les entreprises Dattak.
Même pour celles qui parviennent à rebondir, les conséquences financières induites par un ralentissement voire un arrêt de la production, une indisponibilité du site Internet ou encore des retards de livraison peuvent être colossales. Touché par l’attaque cyber NotPetya en 2017, le groupe Saint-Gobain avait par exemple subi une perte de chiffre d’affaires d’environ 220 millions d’euros !
Des primes et des franchises en forte hausse
Afin d’indemniser les entreprises concernées, les assurances dédiées au risque cyber ont commencé à se développer en France à partir de 2015. Huit ans plus tard, ce produit reste toutefois l’apanage d’un nombre limité d’agents économiques privés. D’après l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE), 84% des grands groupes sont certes couverts, mais cette proportion tombe à 9% pour les entreprises de taille intermédiaire (ETI) et à… 0,2% pour les petites entreprises et les PME.
Si la méconnaissance de ces offres assurantielles peut expliquer en partie ce constat, elle ne justifie cependant pas tout selon les courtiers spécialisés. «Après avoir fait face à une envolée de la fréquence et de l’intensité des sinistres cyber en 2020 et 2021, les compagnies d’assurance ont sensiblement durci les conditions de souscription au cours des deux dernières années», relate ainsi Diego Sainz, référent technique cyber chez Verspieren. Dans son étude consacrée à la cyberassurance, l’AMRAE confirme en effet que le volume de primes versées par l’ensemble des entreprises assurées a augmenté de 44,4% l’an dernier, alors que les capacités souscrites ont baissé pour la quasi totalité des tailles d’entreprises.
Plus précisément, le prix de ces assurances, dit taux de prime, s’est renchéri en moyenne de 56% pour les ETI sur la période, a été multiplié par deux pour les grandes entreprises et s’est envolé jusqu’à +642% pour les petites entreprises. En sus de cette inflation, les montants de franchise ont été nettement relevés, quand bien même les niveaux de couverture étaient généralement revus à la baisse.
Un prérequis pour certains grands comptes
Ce début d’année semble toutefois traduire une inflexion sur ce front. «Sous le double effet d’une sinistralité cyber en recul pour les assureurs l’an dernier et de l’arrivée de nouveaux acteurs sur ce marché qui tend à en renforcer la concurrence, les conditions de souscription sont redevenues un peu plus attractives pour les entreprises», prévient Diego Sainz. En fonction notamment de la taille et de l’exposition de l’entreprise à la menace cyber, le coût annuel de ces contrats d’assurance démarre aujourd’hui autour de
1 000 euros, et peut monter jusqu’à plusieurs dizaines de milliers d’euros pour une protection complète.
«La nôtre intègre un accompagnement en cas de cyberattaque disponible 24h/7j pour résoudre la cyberattaque, remettre en état le système informatique, et prendre en charge les pertes d’exploitation, les frais de reconstitution des systèmes, le remplacement des équipements informatiques, la surfacturation téléphonique mais aussi le paiement des rançons en cas d’attaque par rançongiciel», illustre Charlotte Couallier. Dans ce contexte, les experts s’attendent à ce que le marché de la cyber-assurance renoue avec la croissance cette année, «ce d’autant plus que de plus en plus de clients grands comptes imposent à leurs partenaires commerciaux de se couvrir contre le risque cyber», observe Diego Sainz.
Un cadre législatif enfin clarifié pour le paiement des rançons
Face aux critiques notamment émises par l’Anssi et au flou juridique qui régnait autour de cette pratique, plusieurs assureurs avaient décidé, l’an dernier, de ne plus couvrir le paiement des rançons en cas d’attaques au rançongiciel, aussi appelées «ransonwares». Une position potentiellement lourde de conséquences puisque ces dernières sont les attaques informatiques les plus répandues. Afin de lever toute ambiguïté et de sécuriser tant les entreprises que les assureurs, le législateur vient de lui conférer un cadre légal. «Sous réserve que l’assuré dépose plainte dans les 72 heures après la découverte d’une atteinte, la loi LOMPI autorise officiellement les assureurs à indemniser au titre sa police Cyber les frais et pertes incluant, par exemple, une rançon versée en dernier recours pour récupérer ses données», informe Diego Sainz, chez Verspieren. Ce texte est entré en vigueur début avril.