Solenn Poullennec
Une poignée de cyberattaques très coûteuses a fait s'envoler les indemnisations versées par les assureurs sur le marché français entre 2019 et 2020, selon une étude.
« Le 15 août dernier, mes collègues chinois informaticiens se sont aperçus qu'il y avait un problème car un serveur était verrouillé, se souvient le responsable de la gestion des risques d'un groupe français très présent à l'international. Dans l'heure, il a fallu arrêter une bonne partie de l'infrastructure informatique. »Car l'entreprise est victime d'une attaque par un logiciel conçu pour obtenir une rançon. « Comme on avait des sauvegardes, on a pu reconstruire l'informatique par nos propres moyens, cela a pris deux semaines. » Pendant ce temps, toutefois, des équipes ont été forcées de tourner au ralenti et les pertes se sont accumulées. « On a été indemnisés de l'intégralité des pertes, défalquées de la franchise », se félicite ce gestionnaire des risques, qui préfère rester anonyme. Comme la plupart des grandes entreprises françaises, la société avait en effet souscrit une « assurance cyber » qui lui a permis d'obtenir un soutien technique et d'amortir le choc financier.
Le choc, cependant, est très rude aussi pour les assureurs. Entre 2019 et 2020, le coût des cyberattaques pour les assureurs d'entreprises présents sur le marché français a été multiplié par trois pour atteindre 217 millions d'euros, révèle une étude présentée mercredi par l'Association pour le management des risques et des assurances de l'entreprise (Amrae), qui compte beaucoup de grandes entreprises hexagonales parmi ses membres.
Réalisée avec l'aide de huit des grands courtiers en assurances, celle-ci se veut faire la lumière sur le marché naissant de l'assurance cyber (il pesait 130 millions d'euros de primes en 2020). De quoi alimenter les réflexions à l'heure où le gouvernement a dévoilé en février un plan à 1 milliard d'euros sur la cyber sécurité. Et où le débat fait rage depuis que l'Agence nationale de la sécurité des systèmes d'information (Anssi) a accusé certains assureurs d'encourager les cyberattaques en prenant parfois en charge le paiement des rançons. Depuis, AXA France a revu ses conditions. Faute de recul historique, l'étude invite à la prudence avant d'évoquer des « tendances », mais veut battre en brèche certaines idées véhiculées avec la révélation d'attaques contre de multiples entreprises l'an dernier, comme Bouygues Construction, l'assureur MMA, le groupe de services informatiques Sopra Steria.
Très grands sinistres pour les entreprises
« Si l'on considère le nombre de sinistres indemnisés par rapport au nombre d'assurés, il est stable en 2020 par rapport à 2019, insiste ainsi Philippe Cotelle, 'risk manager' d'Airbus Defence and Space et administrateur de l'Amrae. Par contre, pour les grandes entreprises ce qui change, c'est l'apparition de très grands sinistres. » Sur fond de « sophistication croissante des attaques » et « de dépendance accrue des entreprises au numérique », quatre cyberattaques ont coûté entre 10 et 40 millions d'euros chacune aux assureurs en 2020. Elles expliquent l'envolée de la facture pour eux, alors qu'en 2019 aucun sinistre à plus de 10 millions d'euros n'avait été déclaré.
Ces cyberattaques ont poussé les assureurs à débourser beaucoup plus d'argent pour indemniser leurs assurés que ce qu'ils avaient reçu sous forme de primes. Malgré l'augmentation de celles-ci entre 2019 et 2020. Le ratio sinistres sur primes, indicateur de la rentabilité pour les assureurs, est passé de 84 % en 2019 à 167 % en 2020, selon l'Amrae. De quoi inquiéter les grandes entreprises. « Nous ne sommes pas loin du déclenchement d'un cercle vicieux dans le marché de l'assurance cyber pour les entreprises, prévient Philippe Cotelle. Il conduirait les assureurs à offrir de moins en moins de capacités alors que les entreprises en ont de plus en plus besoin. » L'Amrae estime en effet que même si 87 % des grandes entreprises ont une assurance cyber, leur couverture est aujourd'hui trop limitée (à 38 millions d'euros en moyenne).
Les courtiers et les entreprises évoquent déjà des négociations compliquées avec les assureurs qui augmenteraient fortement les prix, mais surtout offriraient moins de couvertures. La situation est cependant très différente pour les entreprises de taille intermédiaire. Selon l'Amrae, celles-ci n'ont pas de « problème d'offre » et peuvent obtenir des taux de primes « très attractifs ». En revanche, elles sont seulement 8 % à avoir un contrat d'assurance cyber (pour une couverture moyenne de 8 millions d'euros). Un manque de couverture qui touche aussi les PME et constitue une « menace pour l'économie française », selon l'Amrae.
Comments