Philippe Cotelle, Président de la commission cyber de l’AMRAE et Risk manager dans un grand groupe industriel, constate que les assureurs affichent de fortes exigences en matière de risque cyber, condition de son assurabilité.
« Le risque cyber n’est pas inassurable du moment qu’il est géré. »
Une entreprise française sur deux a été victime d’une cyberattaque en 2022, selon le baromètre du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique). Mais les entreprises ont-elles réellement pris la mesure du danger ? Ce n’est pas certain si l’on observe les difficultés que le secteur de l’assurance rencontre pour trouver l’équilibre économique des garanties cyber.
« En fait, la dynamique de marché diffère selon la taille des entreprises », explique Philippe Cotelle, Président de la commission cyber de l’AMRAE (Association du management des risques et des assurances de l’entreprise) et Risk manager dans un grand groupe industriel, « dans son édition publiée en 2022, l’étude LUCY (LUmière sur la CYberassurance) montre que le marché a eu une réaction pour le moins brutale en direction des grandes entreprises en multipliant par 2 les taux de primes, en diminuant de 25 % les capacités proposées et en augmentant sensiblement les franchises à un niveau moyen de 4 millions d’euros ». Il est vrai que 2020 avait été une année noire en matière de risque cyber : quatre sinistres avaient, à eux seuls, consommé l’ensemble des primes du marché, soit un coût de 217 millions d’euros pour 130 millions de primes. La politique drastique des assureurs leur a cependant permis de retrouver un certain équilibre. Revers de la médaille, certaines grandes entreprises ont décidé de ne pas renouveler leur assurance cyber, notamment 11 sociétés du CAC 40.
La situation a en revanche été moins radicale en ce qui concerne les ETI qui ont notablement augmenté leur couverture du risque cyber. « La hausse des taux pratiquée par les assureurs a été deux fois moins importante que pour les grandes entreprises et il en a été de même sur les franchises », relève Philippe Cotelle qui souligne toutefois que « les entreprises de taille intermédiaire ont enregistré une hausse de plus de 400 % des sinistres en 2021 ». Pour le Président de la commission cyber de l’AMRAE, il faut donc s’attendre à ce que les chiffres 2022 révèlent une inversion du mouvement observé l’année précédente : « le niveau d’exigence des assureurs devrait immanquablement croître en direction des ETI. A contrario, les grands comptes qui investissent massivement en cybersécurité devraient voir la réaction du marché se stabiliser. Et ce, d’autant que de nouveaux acteurs de l’assurance, venant notamment de Londres, ont fait leur apparition ».
Face à ce risque devenu stratégique, du fait de sa diffusion dans toutes les strates de l’entreprise, les TPE et PME semblent en retrait. « S’estimant trop insignifiantes pour être exposées, elles ne réalisent pas leur dépendance au risque cyber », constate Philippe Cotelle qui recommande à ces dernières de miser davantage sur la prévention notamment en consultant le guide « Maîtrise du risque numérique » de l’AMRAE et de l’ANSII et le site cybermalveillance.gouv.fr. « Le risque cyber n’est pas inassurable du moment qu’il est géré », prévient Philippe Cotelle.
