Les entreprises françaises très mal assurées contre les attaques informatiques

Quant il s’agit de s’assurer contre les attaques informatiques, les entreprises françaises sont des mauvais élèves quelque soit leur profil. Les grandes entreprises ont tendance à ne pas s’assurer à la hauteur des coûts réels d’une attaque. Quant aux entreprises de taille intermédiaire (ETI) pour leur part, elles négligent de s’assurer et sont également sous assurées. C’est ce que montre l’étude réalisée par l’Amrae.  L’Amrae (Association pour le Management des Risques et des Assurances de l’Entreprise) est l’association professionnelle des métiers du risque et des assurances en entreprise.

Les grandes entreprises françaises affichent un taux élevé d’assurance

Dans le détail, une très grande proportion des grandes entreprises françaises, elles réalisent chacune plus de 1,5 milliard d’euros de chiffres d’affaires, sont assurées contre les effets d’une attaque informatique. L’étude chiffre à 87% cette proportion. Ce qui ne signifie pas que les 13% restants ne sont pas assurés. Ils ont pu choisir d’être leur propre assureur ou ils peuvent avoir souscrit une police Responsabilité civile intégrant des garanties cyber.

Le souci est plutôt dans le fait que les grandes entreprises ne sont protégées qu’à hauteur de 38 millions d’euros de dégâts causés par une attaque informatique. Or, les coûts d’une attaque atteignent souvent des centaines de millions d’euros alerte l’Amrae.  De plus, les assureurs prêts à monter en première ligne du programme d’assurance cyber d’une grande entreprise sont de plus en plus rares, relève l’Amrae. Cette offre restreinte est un frein au développement de l’assurance cyber, alors même que les grandes entreprises ont besoin de renforcer leur couverture. Il faut dire que sur le segment des grandes entreprises, les assureurs ont pour la première fois en 2020 versé près de deux fois plus d’indemnisation qu’ils n’ont perçu de primes.

Quant aux ETI, des entreprises qui réalisent un chiffre d’affaires entre 50 millions d’euros et 1,5 milliard d’euros, seulement 8% d’entre elles ont souscrit une assurance pour une protection moyenne à hauteur de 8 millions d’euros. Au contraire des grandes entreprises, les ETI bénéficient aujourd’hui d’un marché concurrentiel, avec une offre importante et des prix attractifs.

Très peu de PME apparaissent comme assurées contre les risques cyber

Côté PME, c’est encore plus faible, puisque seulement 362 des 140 000 PME réalisant entre 10 et 15 millions d’euros de chiffre d’affaires ont souscrit une assurance cyber auprès de leur courtier, en 2020. Ce chiffre est sous-estimé reconnaît l’Amrae car les PME peuvent souscrire ce type d’assurance auprès d’un agent général d’assurance, ou d’un courtier de proximité autre que ceux répondant à l’étude. Mais ce chiffre a le mérite de dessiner une tendance, estime l’Amrae, qui pointe que le taux de couverture des PME reste trop faible au regard de l’impact d’une attaque informatique.

Les grandes entreprises sont très nettement sous-assurées, insiste l’Amrae. Le coût d’un arrêt total de l’activité pendant quelques jours se chiffre en millions d’euros. Auxquels s’ajoutent les coûts de gestion de crise, le risque de réputation, les éventuels frais de notification en cas de pertes de données, etc. En ce qui concerne les ETI, l’enquête montre que seulement 441 entreprises ont une assurance contre le risque cyber sur les 5 763 entreprises françaises réalisant entre 50 millions d’euros et 1,5 milliards d’euros de chiffre d’affaires. Soit moins de 8 %. « Cela montre que la conscience du risque cyber et le principe de la protection assurantielle n’ont pas encore pénétré notre économie » alerte l’Amrae.

De plus, l’étude montre que les ETI qui s’assurent sont également sous-protégées à l’instar des grandes entreprises. La protection moyenne souscrite n’est que de 8 millions d’euros.  « Ce niveau est probablement très inférieur à leur exposition réelle au risque cyber » avertit l’Amrae. Quant aux collectivités publiques, c’est la bérézina. Leur taux de couverture en assurance cyber s’établit autour de 1%. Mais il tend à s’élever avec la taille de l’organisation : les régions, départements et métropoles sont par exemple plus souvent équipés que les communes.

En 2020, 4 sinistres majeurs ont été indemnisés entre 10 et 40 millions d’euros chacun

Côté indemnisations, en 2020, quatre sinistres de taille majeure, indemnisés entre 10 et 40 millions d’euros chacun, ont représenté à eux seuls 78 % du volume d’indemnisations versées par les assureurs. En tout, 90 sinistres ont été déclarés par les grandes entreprises. Entre 2019 et 2020, le montant moyen d’indemnisation a été multiplié par 6, passant de 31,8 millions d’euros en 2019 à 201,5  millions d’euros en 2020. Les assureurs ont, sur ce segment d’entreprises, versé près de deux fois plus d’indemnisations qu’ils n’ont perçu de primes.

Côté ETI, aucun sinistre d’ampleur n’a été déclaré en 2020. On observe une baisse très importante du volume total d’indemnisations. Il est descendu à 15,1 millions d’euros en 2020 contre 41,3 millions d’euros en 2019. Cela est du en grande partie au segment des grands sinistres, dont les coûts d’indemnisation sont descendus à 4,5 millions d’euros en 2020 contre 23 millions d’euros en 2019. Le coût des petits sinistres s’est en revanche alourdi. Il a grimpé de 0,8 million d’euros en 2019 à 4,8 millions d’euros en 2020. Il y a une écrasante majorité de petits sinistres.

Quant aux PME, TPE et collectivités publiques, elles ont enregistré l’an passé 3 fois plus de sinistres qu’en 2019. Mais pour des coûts d’indemnisation qui restent limités à 40 000 € en moyenne. L’enquête de l’Amrae a été menée entre le 21 janvier et le 19 février 2021 auprès de huit grands courtiers spécialistes du risque d’entreprise : AON, Diot, Filhet Allard, Marsh, Siaci saint Honoré, Verlingue, Verspieren, Gras Savoye-Willis Towers Watson. Planète CSCA, le syndicat du courtage, a également été mis à contribution, notamment pour avoir une meilleure vision du marché des PME.