328 millions d’euros. C’est le montant des primes destinées à la couverture cyber selon une étude réalisée par l’Amrae en 2024. Une stagnation par rapport à 2022 à laquelle s’ajoutent des marges trop faibles pour les acteurs du secteur. Conséquences ? L’heure est au durcissement des conditions d’accès et de mobilisation de garanties.
Le marché de la cyber assurance flirte avec la crise
Airbus, Derichebourg, Le Slip Français, Speedy, France Travail… Longue est la liste des organisations qui ont été visées par une cyberattaque en France ces dernières années. Sur la simple année 2023, la Cnil affirme avoir reçu 4 668 notifications pour violations de données, soit une progression de 14 % sur un an. Même tendance pour l’Anssi qui estime à 400 % la hausse des attaques informatiques sur le territoire français depuis 2020. Une augmentation qui pousse les entreprises à s’assurer avec une couverture à hauteur du risque. Le problème ? À l’instar des franchises, le montant des primes s’envole. Selon le dernier baromètre Lucy publié par l’Amrae, les capacités restent limitées à 40 millions d’euros pour les plus grandes entreprises.
Autre difficulté : les conditions d’application de garanties se durcissent. Les polices s’obtiennent bien souvent au prix de prérequis techniques exigeants. Contrôle des accès à distance, présence d’antivirus, mise en place de sauvegardes hors ligne, plan de continuité d’activité, information et formation des collaborateurs au risque cyber… Ces impératifs pour rendre le risque assurable nécessitent parfois le recours à des prestataires externes coûteux. Un obstacle de plus pour les structures les plus modestes.
Résultat : après une année 2022 marquée par des taux de couverture proches de 20 %, le marché français de l’assurance cyber patine en 2023. Selon les chiffres avancés par France Assureurs en 2022, l’Hexagone ne représente que 3 % du marché mondial, malgré le développement de produits spécifiques et l’adoption de la loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi) en janvier 2023 venue préciser le régime d’indemnisation.
Lire aussi Face au risque cyber, l’ambivalence des assurances
Un marché de l’assurance sous haute tension
Les attaques cyber se multiplient. Le taux de couverture reste insuffisant, notamment chez les ETI et les petites entreprises. Si 98 % des grandes entreprises françaises sont couvertes par une assurance cyber, seules 3 % des PME le sont. Pour Loïc Guézo, vice-président du Clusif et directeur de la stratégie cyber chez Proofpoint, "le rapport à l’assurance cyber n’est pourtant pas nouveau" . À la fin des années 2010, les grands assureurs se positionnaient déjà sur le secteur avec des contrats alliant capacités de couverture et tarifs attractifs. À croire qu’assureurs et entreprises se soient laissés surprendre. Cette démarche essuiera les plâtres, une explosion des cyberattaques et des préjudices financiers allant au-delà des volumes de primes collectées. Même son de cloche en 2024. Dans son dernier baromètre publié cette année, l’Amrae révèle que la survenance de deux ou trois sinistres d’ampleur pourrait suffire à absorber toutes les primes collectées en 2023 et déstabiliser complètement le marché.
Des enseignements peu pris en compte
Pour Loïc Le Dréau, directeur général des opérations France au sein de FM Global, les cyberattaques ont changé d’échelle : " Du vol de données pour obtenir une rançon, les hackers ciblent dorénavant les systèmes opérationnels. Leur objectif est d’arrêter l’outil de production" . Face à cette sinistralité polymorphe, le marché peine à trouver un modèle économique efficace et applicable à tous les souscripteurs. De nouveaux acteurs tentent dès lors de faire leur place. C’est le cas des insurtechs comme Dattak dont la collaboration nouvelle avec la Direction générale de l’armement (DGA) promet de renforcer la résilience de 4 000 PME françaises de l’industrie de la défense.
Vœu pieu ou gage d’un avenir numérique plus sûr pour les entreprises françaises, l’Autorité de contrôle prudentiel et de résolution (ACPR) vient de rappeler à l’ordre, en mars dernier, les assureurs invités à mesurer avec davantage de précision la couverture du risque cyber. Selon le gendarme chargé de l’agrément et de la surveillance des banques et des assurances, " certains organismes ne paraissent pas encore en mesure de quantifier exhaustivement le risque porté par les couvertures cyber des contrats qui ne sont pas entièrement dédiés à ce risque" .
Une clarification indispensable
En 2018 déjà, l’ACPR mettait en évidence l’existence de couvertures implicites au sein des polices cyber. Ces garanties dites silencieuses recouvrent des garanties non identifiées de manière claire créant une incertitude sur l’existence et l’étendue des couvertures, faisant courir un risque financier pour les assurés et les assureurs. Cinq ans plus tard, le marché évolue en douceur selon les dernières communications de l’autorité de contrôle. Les assureurs poursuivent leurs efforts de clarification avec la réalisation de cartographie des expositions implicites par famille de contrats et des démarches de modification des polices concernées. À l’approche d’un événement à haut risque comme les JO 2024, l’ACPR exhorte plus que jamais les acteurs du secteur à faire preuve d’exhaustivité dans l’évaluation financière de l’ensemble de leurs garanties, qu’elles soient implicites ou explicites, accessoires ou principales, optionnelles ou non.
72 heures pour solliciter la garantie
Autre difficulté lors de la mise en œuvre des garanties, le régime mis en place par l’article L. 12-10-1, introduit en avril 2023 dans le Code des assurances, qui conditionne la mobilisation des garanties au dépôt d’une plainte dans les soixante-douze heures.
Dans un article publié dans la Tribune de l’assurance, Eleonora Sorribes, et Maxime Ramos-Guerrero, avocate associée et avocat au sein du cabinet LPA-CGR, affirment que " la question de la méconnaissance du texte n’est pas le seul obstacle" . Son application se fait souvent dans la confusion. Sur le plan matériel, seules des investigations forensiques poussées permettent de conclure à la compromission du système d’information et à une infraction. Autre difficulté : le champ d’application territorial. Pour les deux avocats, une lecture littérale du texte pousse à conclure à la nécessité de déposer une plainte dans chacun des pays où l’entreprise a été impactée. Bémol : les autorités françaises n’ont aucune compétence pour intervenir dans le cadre d’une attaque affectant une entreprise basée à l’étranger.
Dernier point souligné par les deux spécialistes, la question du point de départ du délai de soixante-douze heures. Selon l’article L. 12-10-1, il débute après la connaissance de l’atteinte par la victime. Un moment difficile à déterminer, suspendu à des investigations techniques raisonnables pour démontrer la matérialité des faits post-attaque. Reste ensuite à porter plainte dans ce même laps de temps, et ce, par l’intermédiaire d’un courrier recommandé avec accusé de réception au procureur de la République compétent. Une véritable course contre la montre pour les entreprises sinistrées, dépourvues de pratique de marché établie. Du moins, pour le moment…
Jonathan Banuelos