Faut-il se cyber-assurer ?

La cyberassurance : un marché très disparate

La conscience des risques cyber s’est considérablement renforcée, en particulier au sein des grandes entreprises. Selon la dernière étude de l’AMRAE (Association pour le management des risques et des assurances de l’entreprise), plus de 90 % des grands groupes disposent d’une couverture d’assurance cyber en place. Cela peut sembler rassurant, mais la situation est très différente du côté des ETI, PME et TPE. Ainsi, le taux de couverture va être de l’ordre de 10 % pour les ETI, de 3 % pour les PME et de 0,2 % pour les TPE. Comment peut-on expliquer cette disparité et quelles sont les caractéristiques de ces contrats ?

Les caractéristiques des contrats de cyberassurance

Un contrat de cyberassurance permet d’aider les entreprises à faire face aux conséquences financières et opérationnelles des cyberattaques. En général, il intègre deux éléments clés : une couverture financière et une assistance technique en cas de sinistre. Ce deuxième point consiste en la mise à disposition d’experts techniques qui vont être capables de qualifier l’incident, de limiter la propagation de la menace, et d’aider à la remédiation. Ainsi, si une entreprise est victime d’une cyberattaque, elle peut compter sur son assureur pour l’aider à atténuer les pertes financières, à restaurer ses opérations et à gérer la crise. Cependant, les caractéristiques précises des contrats de cyberassurance varient d’une police à l’autre. C’est pourquoi il peut être utile de faire appel à un courtier spécialisé sur le sujet pour sonder le marché, et trouver une solution d’assurance adaptée.

Les raisons de la disparité dans la couverture

Une des raisons principales de cet écart se trouve dans la difficulté de souscrire à ce type de contrat. Les entreprises, en particulier les plus petites, peuvent rencontrer des difficultés pour évaluer leur exposition au risque cyber et répondre aux questionnaires détaillés demandés lors de la souscription, car elles n’ont pas toujours la disponibilité ou les compétences pour le faire.

La menace évolue rapidement, ce qui rend difficile la quantification précise du risque. Cela a par exemple abouti à un ratio sinistres/primes de 167 % en 2020. En d’autres termes, les assureurs ont payé 1,67 € en indemnités pour chaque euro de primes collectées. Ils ont ensuite resserré les conditions de souscription, en imposant des exigences techniques plus strictes, telles que la mise en place de l’authentification forte (ou MFA[1]), l’application d’un PCA (Plan de continuité d’activité) ou la mise en place de solutions de sécurité renforcée comme les EDR[2]. Ce même ratio sinistres/primes est ainsi passé à 89 % en 2021 et à 22 % en 2022. Par ailleurs, les montants des primes et des franchises ont augmenté, tandis que les niveaux de couverture ont plutôt baissé. Ces ajustements ont rendu la cyberassurance moins accessible aux PME et ont contribué à maintenir le taux de couverture à un faible niveau.

Conclusion : la nécessité de la cyberassurance

La cyberassurance apparaît aujourd’hui comme un complément essentiel de la stratégie de protection d’une entreprise. Les mesures de sécurité informatique mises en place vont réduire le risque cyber, et la cyberassurance permettra d’assurer le risque résiduel. Elle peut aider à protéger l’avenir de l’entreprise en atténuant les coûts potentiels en cas d’incident et en accompagnant l’entreprise lors de la crise. Face à la menace constante que représentent les cyberattaques, les entreprises de toutes tailles doivent considérer la cyberassurance comme une composante essentielle de leur stratégie de gestion des risques.

[1] L’authentification multiple (Multi-factor authentication en anglais) est un système de sécurité qui fait appel à plusieurs méthodes d’authentification pour vérifier l’identité de l’utilisateur (par exemple, un mot de passe, et un code reçu par SMS).

[2] EDR (Endpoint detection and Response) : Solution logicielle de sécurité qui va être capable de détecter et répondre à un certain nombre d’attaques.