L'édition 2024 sur rapport LUCY (LUmière sur la CYberassurance) vient de sortir. Toujours plus attendu, il est repris et commenté un peu partout, nous en faisons de même mais sous un autre angle. 

Des propos introductifs encourageants certes, mais rappelant que tout de même le marché reste fragile et qu'il faut rester vigilants sont révélateurs d'une direction insaisissable, on ne sait pas où l'on va au fond. Une mention au passage sur l'IA et à la situation géopolitique pour être dans l'air du temps et quelques yakafokon plus loin nous plongeons dans le copieux rapport (à retrouver 👉 ici sur le site de l'AMRAE si vous voulez le télécharger)

Pour notre part, les données issues du rapport LUCY 2024 et l'état du marché, actuel en particulier la situation en souscription, ne nous paraissent pas saines, loin s'en faut.

Considérer qu’une "entreprise assurée est une entreprise qui gère bien son risque cyber aujourd'hui" (c'est écrit dans le rapport) est un expédient pour éviter le fond. C'est vraisemblablement valable pour les grandes entreprises mais très peu probable pour beaucoup d'ETI, les PME et TPE, d'autant qu'il est assez simple de tromper les parcours de souscription, classiques ou automatisés.

Au demeurant, les grandes entreprises qui enregistrent une baisse de 40 % de sinistres et de 45 % des montants indemnisés par rapport à l'année 2022 ont pratiquement toutes été victimes d'une attaque cyber au cours des 5 dernières années (rappelons qu'en 2020, les assureurs avaient indemnisés plus de 201 M€ pour 86 sinistres). Ces données sont donc logiques, le contraire aurait été inquiétant. 

On peut donc se réjouir de la prise de conscience et des budgets conséquents investis par ceux qui peuvent (les grandes entreprises). Cette catégorie qui capte un peu plus de 80% des primes encaissées constitue un risque sûr pour au moins les 5 prochaines années à nos yeux et elle continuera à alimenter les capacités de l'assurance cyber. 

Autre point qui peut venir étayer l'absence de sinistre majeur, c'est le niveau des franchises des Grandes Entreprises qui continue de progresser (plus de 15 % pour une moyenne de 7,64 M€) et qui fait que nombre d'incidents cyber passe sous le radar. À ce niveau là, En vue des renouvellements, la discrétion reste de mise. Tiens donc, il n'y a pas de nouvelle grande entreprise assurée sur le marché français, étonnant ? Mais où sont-elles ? LUCY ne parle pas des captives cyber, le mot est absent du rapport, mais il n'y a peut être pas de données disponibles.

En revanche, les franchises baissent pour toutes les autres catégories, pour ne pas dire qu'elles plongent (-50% pour les ETI, -70% pour les PME et -81% pour les petites entreprises).

Autre chiffre clé mis en avant et vraisemblablement mal interprété, la baisse de 46 % "du montant total de sinistre enregistrés", comprenez si vous êtes profane, du montant total des indemnités versées (de 70,8M€ en 2022 à 38,1M€ en 2023). 

Car le nombre de sinistres entre 2022 et 2023 est passé de 177 à 615, soit une hausse de 247 %, une hausse importante, même si l'on compare à périmètre constant sur le nombre de police souscrite. Si globalement le montant des indemnisations baisse bien, c'est avec de fortes disparités : -48 % pour les ETI pour 37 % de sinistres en moins, contre -12 % pour les petites entreprises avec 1 580% de sinistres en plus. 

Que faut-il en déduire ? Pas simple, LUCY travaille avec les données qui lui sont mises à disposition et le rapport a le mérite de livrer beaucoup d'informations utiles. Toutefois, nous ne savons pas par exemple, le nombre de refus de garantie, information importante pour la compréhension globale de l'assurance cyber. 

Ainsi la lecture du rapport, nous comprenons qu'il n'y a eu qu'un seul refus de garantie. En effet, le tableau en page 14, indique 615 sinistres mais la page 8 mentionne 614 sinistres indemnisés... Donc un seul refus de garantie? peu probable...à moins que ce soit autre chose.

Quoiqu'il en soit, c'est le bas de segment qui est intéressant, car il a annonce un mouvement déjà à l'œuvre en 2024 dans le milieu de marché. 

C'est comme un désir de sinistre

L'augmentation notable constatée du nombre de contrats souscrits sur les segments allant du bas au milieu de marché traduit une dynamique positive certes, mais avec une baisse de capacité, chez les PME et les ETI (à contrario elle augmente légèrement pour les TPE). Quelle en est la contrepartie ? Ce segment de marché fait-il peur ? Pas que. Les assureurs classiques s'alignent ou plutôt essaient de suivre les conditions (tarifaires) des insurtech qui bâtissent leur croissance sur des business modèles bien différents. 

En conséquence, les acteurs qui ne portent pas le risque comme le font les assureurs "old school" pour ainsi dire, proposent au marché des conditions tarifaires insoutenables sur des segments qui auparavant leur étaient réservés. 

Les belles PME industrielles et les ETI sont maintenant courtisées. Donc, le nombre d'ETI, PME (et de petites entreprises) assurées progresse significativement et le taux de prime baisse de manière anormale sur un segment loin d'être mature ou au mieux, loin de disposer des resources techniques et humaines pour faire face à une crise. 

Le fin observateur fera remarquer que le taux de prime pour les ETI est le seul à avoir progressé, lui, (un modeste +7%) par rapport à 2022 avec une augmentation de + 47% des entreprises assurées, là où tous les autres taux baissent (dont un vertigineux et inquiétant -69% chez les petites entreprises). Seulement, chez les mêmes ETI (réputées sûres car assurées), le montant moyen de la franchise a été divisé par 3. 

Autant dire qu'au rythme ou vont les choses, de beaux sinistres ne devraient pas tarder à se réaliser. A plus forte raison que ces PME et "petites" ETI sont plus sensibles au risque systémique car elles sont loin, mais alors très loin d'être sécurisées et résiliantes. Combien de serveurs Windows 2008 sont encore en exploitation dans ces entreprises ? Combien de serveur Exchange sont encore on premise ?

"Quantifier les expositions et ne jamais baisser la garde" pour reprendre les mots de l'éditorial du rapport LUCY. En ce premier semestre 2024, ce n'a pas l'air d'être ce qui prévaut. Il reste du chemin à parcourir en prévention, même pour les risques déjà assurés, quelques audits de sécurité informatique ne seraient pas du luxe. . 

Les prochains sinistres sont là, chez les PME et les ETI, c'est à dire sur un segment de marché convoité et âprement disputé, pour lequel nous nous interrogeons de plus en plus sur la qualité des portefeuilles. Une situation qui hélas dessert à moyen terme les assurés, qui finiront tôt ou tard, par passer à la caisse.

Enfin, il se murmure que quelques sinistres seraient les bienvenus pour nettoyer ces portefeuilles douteux et permettre un retour à un environnement concurrentiel plus sain que ce qu'il est actuellement. Une chanson mainte fois entendue dans le monde de l'assurance. Le cyber qui manifestement apprend mal de ses erreurs, y échappera t-il ? l'avenir nous le dira.

Lucy... C'est pas marqué dans les livres, Que le plus important à vivre, Est de vivre au jour le jour, Et de faire ses mises à jour.