LUCY - Lumière sur la cyberassurance

ÉDITION 2023 mière sur la berassurance LU CY

LUmière sur la CYberassurance / © Amrae - 2 - L’Amrae publie la 3e édition de Lucy, étude de la couverture assurantielle du risque cyber en France. LE MARCHÉ GAGNE EN MATURITÉ MAIS IL RESTE VOLATIL Les années se suivent et ne se ressemblent pas sur le front de l’assurance cyber. En 2021, la 1re édition de l’étude Lucy (LUmière sur la CYberassurance) a posé la question de l’assurabilité du risque cyber : après une année 2020 fortement déficitaire, les assureurs ont alors semblé vouloir se retirer du marché. Ils ont finalement fait le choix de revoir en profondeur leurs portefeuilles et de durcir les conditions de souscription en augmentant les taux de prime, en relevant les franchises et en réduisant les capacités. Cette décision, prise dès 2021 sur le segment des grandes entreprises, s’est ensuite diffusée à l’ensemble du marché : sur le segment des entreprises de taille intermédiaire (ETI) en 2022 et - on peut d’ores et déjà en faire le pari - sur celui des moyennes, petites et micro entreprises en 2023-2024. Ces prévisions peuvent être prises en sérieux : du fait de sa méthodologie et de la profondeur historique de ses quatre années de données, Lucy a fait la preuve de sa robustesse. Au point de devenir une référence sur le marché du risque cyber : régulièrement citée par les différents acteurs de la communauté du risque cyber, elle s’est imposée comme un élément clé du dialogue entre risk managers, courtiers et assureurs. Une étude pilotée par Philippe Cotelle, administrateur de l’Amrae et président de sa commission Cyber, vice-président de Ferma et Risk Manager d’Airbus Defence & Space

LUmière sur la CYberassurance / © Amrae - 3 - CHIFFRES CLÉS 22,3 % Un ratio sinistres/primes (S/P) historiquement bas… … qui reflète surtout les résultats des grandes entreprises l Grandes entreprises : 16% l Entreprises de taille intermédiaire : 51% l Entreprises de taille moyenne : 100% Le marché reste porté par les grandes entreprises qui représentent à elles seules 83% du volume total de primes versées au titre de la garantie cyber. +25 % Après avoir reculé en 2021, le nombre d’entreprises assurées a repris le chemin de la croissance l Grandes entreprises : +17% l Entreprises de taille intermédiaire : +12% l Entreprises de taille moyenne : +53% 35M€ Le montant des capacités disponibles repart à la hausse pour les grandes entreprises l 35 M€ pour les grandes entreprises (+12,7% par rapport à 2021) l 6 M€ pour les entreprises de taille intermédiaire (-8%) l 2,3 M€ pour les entreprises de taille moyenne (-13%) 2,70 % La croissance des taux de prime ralentit en 2022 Évolution du taux de cotisation des grandes entreprises (calculé sur la base du chiffre d’affaires garanti) l 2019 : 0,93% l 2020 : 1,03% l 2021 : 2,02% l 2022 : 2,70%

Le marché de l’assurance cyber existe toujours… Les conditions tarifaires de l’assurance cyber ont atteint de nouveaux “cieux” mais ne valorisent pas encore suffisamment les “diamants” de la prévention. Le recul, désormais de quelques années, améliore la compréhension du risque cyber par les assureurs mais celle-ci se limite encore à une analyse statistique partielle de la sinistralité. En effet, sans une étude globale, les acteurs n’ont qu’une vision parcellaire de ce risque. Encore trop faible d’un point de vue technique, l’analyse des assureurs ne tient pas suffisamment compte des efforts croissants des entreprises en termes de prévention et des résultats obtenus - le nombre d’attaques réussies est en baisse et l’ampleur de leurs conséquences aussi. Si l’on peut se réjouir d’une petite relance en 2022 de la souscription de la part des assureurs sur certains segments, les conditions de marché demeurent difficiles. Des franchises de plus en plus élevées, des capacités proposées encore réduites, des prix plus stables mais qui restent élevés, des garanties toujours plus limitées et, enfin, une offre d’assurance qui n’est pas ouverte à tous. En effet, pour y accéder, les entreprises doivent faire preuve d’imagination et tenter de se plier à des standards non encore définis par le marché de l’assurance et variables par acteur. Si l’on constate une reprise de la croissance du marché de la cyber assurance, celui-ci reste encore insuffisant. Le volume des primes encaissées en France, tous assurés confondus, reste faible et correspond à l’équivalent d’un seul sinistre important. ÉDITORIAL OLIVER WILD Président de l’Amrae Directeur des risques et des assurances de Veolia EDITO LUmière sur la CYberassurance / © Amrae - 4 -

- 5 - LUmière sur la CYberassurance / © Amrae Les entreprises de moyenne et petite taille emboîtent le pas des grandes, malgré une quasi sortie de leur part du marché de cette assurance consécutivement à l’augmentation brutale des primes en 2020. Est-ce un choix d’orientation des investissements, dans un contexte économique tendu post covid le temps de mieux comprendre le risque cyber ou un simple rejet d’un marché un peu fou ? Globalement les entreprises investissent dans l’identification de leur exposition, la protection et les actions de prévention, avec une augmentation significative de leur budget cybersécurité, pour traiter l’héritage d’une course à la digitalisation avec la prévention en second plan. Toutefois certaines limites peuvent freiner ces efforts : un marché des talents et des expertises très concurrentiel pour renforcer les équipes de cyber sécurité et l’absence de standards de qualité et de prévention clairement définis et partagés par exemple. Dans ce contexte, l’innovation est une des clefs de la solution. Au-delà des forums et conférences, les entreprises s’organisent, se rassemblent pour partager leurs pratiques et développer des dispositifs de gestion des risques renforcés leur permettant de se rassurer ou de créer une confiance partagée en dehors du marché traditionnel. Capitaliser sur l’intelligence collective a toujours été un axe de travail de l’Amrae. Cette 3e édition de l’étude Lucy en est une parfaite illustration : initiée par des risk managers, réalisée avec des courtiers, partagée avec la communauté, elle contribue à faire bouger les lignes dans le bon sens, en France, mais également au-delà de nos frontières. Je vous en souhaite une bonne lecture.

LUmière sur la CYberassurance / © Amrae - 6 - Quatre ans de données produites par les courtiers spécialistes du risque d’entreprise La 3e édition de l’étude LUCY s’appuie sur un historique de quatre ans de données objectives, globales, représentatives et robustes. OBJECTIVES car produites par les meilleurs observateurs du risque d’entreprises : les courtiers spécialisés. Cette année, 10 courtiers et une organisation professionnelle ont répondu au questionnaire conçu de façon collaborative par l’Amrae. Sept d’entre eux étaient présents dès la première édition de Lucy : AON, Diot-Siaci, Filhet Allard, Marsh, Verlingue, Verspieren, WTW. Ils ont été rejoints par SMABTP en 2022, Dattak et Howden en 2023. À ces courtiers s’ajoute Planète CSCA, le syndicat des courtiers d’assurance, qui permet d’avoir une meilleure vision des petites et moyennes entreprises. GLOBALES car ces courtiers couvrent des entreprises de toutes tailles, de tous secteurs d’activité sur l’ensemble du territoire français. 9 672 polices d’assurance ont ainsi pu être analysées : l 281 polices de grandes entreprises (plus d’1,5 Md€ de chiffre d’affaires), soit 94% des 300 grandes entreprises répertoriées par l’Insee ; l 591 polices d’entreprises de taille intermédiaire (entre 50 M€ et 1,5 Md€ de chiffre d’affaires), soit 10% des 5 900 ETI répertoriées par l’Insee ; l 492 polices d’entreprises de taille moyenne (entre 10 et 50 M€ de chiffre d’affaires), soit 3,2% des 153 000 entreprises de taille moyenne répertoriées par l’Insee ; l 624 polices de petites entreprises (entre 2 et 10 M€ de chiffre d’affaires) et 7684 polices de micro-entreprises (moins de 2 M€ de chiffre d’affaires), soit 0,2% des 3,9 millions de petites et micro-entreprises répertoriées par l’Insee. Quasi représentative sur le marché des grandes entreprises, l’étude est aussi très représentative sur le segment des ETI. Au fil des années, la vision sur les entreprises de taille moyenne se précise et devient plus représentative. En revanche, l’étude manque encore de précision sur le segment des petites et micro entreprises. Le nombre d’entreprises assurées - donc analysées - n’est pas encore suffisant au regard de l’effectif des entreprises répertoriées par l’Insee. De plus, les PME peuvent souscrire une garantie cyber directement auprès de leur assureur, via un agent général ou dans le cadre d’une multirisque Pro : ces données échappent donc aux courtiers partenaires de l’étude Lucy et ne sont, de facto, pas collectées dans le cadre de l’étude. MÉTHODOLOGIE

LUmière sur la CYberassurance / © Amrae - 7 - Les grandes entreprises ne représentent que 3 % du panel analysé, mais leurs cotisations pèsent 83 % du volume de primes encaissées en 2022. A contrario, les petites et les micro entreprises sont certes nombreuses (82 % du panel) mais leur contribution économique au marché de l’assurance cyber reste marginale (1,9 % du volume global de primes dans le cadre de l’étude Lucy). On peut donc considérer que malgré ses limites sur le segment des petites et micro entreprises, l’étude Lucy est un reflet fidèle du marché de l’assurance cyber. Cependant, par souci de cohérence, nous avons pris le parti de focaliser certaines analyses sur les 1 363 entreprises (grandes, intermédiaires et moyennes) réalisant plus de 10 M€ de chiffre d’affaires : leurs cotisations représentent en effet la quasi-totalité (plus de 98 %) du volume de primes encaissées en 2022 telles que recensées par l’étude. REPRÉSENTATIVES car cette étude n’est pas un simple sondage. Elle repose sur l’agrégation des portefeuilles des principaux intermédiaires en risques d’entreprises : les données analysées ne sont ni des estimations, ni des projections mais le montant réel des cotisations versées par les entreprises et des sinistres indemnisés par les assureurs. Ce qui permet d’étudier le risque cyber sous ses deux facettes : l la couverture du risque cyber : nombre d’entreprises ayant souscrit une assurance, montant de la prime brute, garanties et niveau de couverture souscrits ; l les sinistres indemnisés : nombre de sinistres, montant de l’indemnisation, élément déclencheur. ROBUSTES car les données collectées ont parfaitement restitué les évolutions du marché. Elles ont ainsi permis d’anticiper ses mouvements : « Après des résultats techniques très dégradés sur le marché des entreprises intermédiaires en 2021, nous pensions que les assureurs prendraient des mesures correctives similaires à celles prises dès 2020 sur le marché des grandes entreprises, explique Philippe Cotelle. C’est effectivement ce qui s’est produit en 2022 avec une forte augmentation des taux de primes (+54 %) et une réduction des capacités (-8 %). » L’étude Lucy s’est très vite imposée comme un support de dialogue et de négociation entre les acteurs de la communauté du risque cyber : les risk managers, les assureurs et les courtiers. Ses analyses sont régulièrement reprises par les autorités publiques et les régulateurs français et européens, notamment l’Anssi (l’agence nationale de sécurité des systèmes d’information), le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique ainsi que l’Eiopa (l’autorité européenne de régulation des assurances).

LUmière sur la CYberassurance / © Amrae - 8 - Aujourd’hui et demain Les quatre ans d’historique de l’étude Lucy permettent non seulement de comprendre le marché mais également d’anticiper ses évolutions. C’est précisément ce que nous nous proposons de faire en trois chapitres : 1. L’état du marché de l’assurance cyber en 2022 2. Retour sur quatre ans de maturation du marché de l’assurance cyber 3. Perspectives pour 2023 et 2024 11 acteurs majeurs du risque d’entreprise 9672 polices d’assurance cyber 177 sinistres indemnisés PRINCIPAUX TERMES EMPLOYÉS l Prime : montant de la prime brute payée par l’entreprise. Pour l’année 2022, cela correspond au placement entre le 1er janvier 2022 et le 31 décembre 2022. l Sinistres : nombre de sinistres et montant de l’indemnisation déclarée entre le 1er janvier et le 31 décembre 2022. Les déclarations des années 2019, 2020 et 2021 ont pu être réévaluées par la suite en cas d’évolution. UN ENGAGEMENT DE CONFIDENTIALITÉ L’étude Lucy n’est possible que grâce à l’engagement absolu de confidentialité pris par l’Amrae auprès des courtiers, de leurs clients et de leurs partenaires assureurs et réassureurs. Toutes les données ont été anonymisées et consolidées à l’échelle du portefeuille de chaque courtier, puis re-consolidées de façon globale. La collecte et le traitement des données ont été effectués par l’Amrae dans la plus stricte confidentialité. Une version préliminaire des résultats a été communiquée à tous les contributeurs avant la publication officielle. L’étude est libre de droits et accessible à tous.

LUmière sur la CYberassurance / © Amrae - 9 - 1. L’ÉTAT DU MARCHÉ EN 2022 Le marché retrouve des marges de manœuvre Tiré par les grandes entreprises, le marché de l’assurance cyber est revenu en territoire positif en 2022. Avec un volume global de primes en hausse de 72 % (soit 315 M€) et une sinistralité historiquement basse (70,80 M€, en baisse de 57 % par rapport à 2021), les assureurs retrouvent des marges de manœuvre grâce à un ratio sinistres/primes de 22,3 %. Résultat : les taux de prime se stabilisent et le montant des capacités disponibles repart à la hausse. Du moins sur le segment des grandes entreprises, qui donne clairement le ton du marché. Le marché français de l’assurance cyber 350 300 250 200 150 100 50 - 180 160 140 120 100 80 60 40 20 - 87 73 2019 2020 2021 2022 130 217 183 316 71 84% 167% 89% 22% M€ % n Primes n Sinistres l Ratio sinistres/primes 164

LUmière sur la CYberassurance / © Amrae - 10 - Grandes entreprises Un ratio sinistres/primes historiquement bas… En 2022, les grandes entreprises ont versé près de 267 M€ de primes au titre de leur couverture cyber, soit une prime moyenne de 950 000 € pour chacune des 281 entreprises couvertes recensées dans le cadre de l’étude Lucy. Sur la même période, seulement 47 sinistres ont été indemnisés à une hauteur totale de 43 M€ (soit une moyenne de 900 000 € par sinistre). C’est ainsi que le ratio sinistres/ primes (S/P) a atteint le niveau historiquement bas de 16,2 %. Ce résultat mérite d’être contextualisé dans une dynamique de marché. En 2020, le ratio sinistres/primes a littéralement explosé pour atteindre 190 % : cette année-là, les assureurs ont versé 201,50 M€ d’indemnisations alors qu’ils n’ont perçu que 105,90 M€ de primes. Entre 2019 et 2022, le S/P des grandes entreprises est donc passé par tous les extrêmes : de 190 % en 2020 à 16 % en 2022. Lissés sur quatre ans, les résultats des grandes entreprises sont plus « normaux » : avec près de 600 M€ de primes perçues pour 365 M€ d’indemnisations versées, les assureurs affichent un ratio sinistres à primes de 61 %. Grandes entreprises : quatre ans de ratio sinistres à primes 350 300 250 200 150 100 50 - 200 160 120 80 40 - 73 32 2019 2020 2021 2022 106 202 89 267 43 190% 58% 16% M€ % n Primes n Sinistres l Ratio sinistres/primes 152 43%

LUmière sur la CYberassurance / © Amrae - 11 - … grâce à une sinistralité en forte baisse Alors que le volume de primes des grandes entreprises a augmenté de façon régulière entre 2019 et 2022, la sinistralité a connu des mouvements plus erratiques, avec un pic historique en 2020 et une très forte baisse en 2022. Le pic de 2020 est en partie lié à une augmentation de la fréquence, avec 86 sinistres indemnisés en 2020, contre 73 l’année précédente. Mais il découle surtout de l’intensité de ces sinistres : quatre d’entre eux ont totalisé 131 M€ d’indemnisation (soit une moyenne proche de 33 M€ par sinistre). À ces quatre sinistres XXL se sont ajoutés 6 sinistres XL, indemnisés à une hauteur totale de 49,40 M€ (soit 8,20 M€ par sinistre). On peut donc dire que l’année 2022 a été plutôt calme avec un seul sinistre XXL (15 M€) et quatre sinistres totalisant 9,40 M€ d’indemnisation (pour une moyenne de 2,30 M€ chacun). Faut-il parler de chance ? Ou les investissements engagés par les entreprises en matière de prévention et de protection ont-ils porté leurs fruits ? Sans doute un peu des deux. L’Agence nationale de sécurité des systèmes d’information (Anssi) estime en effet que la menace cyber n’a pas changé en 2022 : «Malgré la guerre d’Ukraine, les tendances identifiées en 2021 se sont confirmées en 2022 avec une menace maintenue à un niveau élevé. » Mais les entreprises sont sans doute un peu mieux préparées à les affronter, comme l’explique Mylène Jarossay, CISO de LVMH Group et présidente du Cesin (Club des experts de la sécurité de l’information et du numérique) en page 17.

LUmière sur la CYberassurance / © Amrae - 12 - Grandes entreprises : distribution des sinistres par taille XXL 10-40M€ 0 0 2019 2020 XXL 10-40M€ XL 3-10M€ 4 16,6 XL 3-10M€ M & L 0,3-3M€ 7 11,5 M & L 0,3-3M€ XS & S 0-0,3M€ 140 105 70 35 - 3,7 XS & S 0-0,3M€ 62 63 4,31 13 16,55 6 49,38 4 131,27 n Nombre n Montant des sinistres 2021 2022 XL 3-10M€ 11,7 4 M & L 0,3-3M€ 14,1 16 80 60 40 20 - 0,8 XS & S 0-0,3M€ 33 XS & S 0-0,3M€ 20 0,1 M & L 0,3-3M€ 22 18,7 XL 3-10M€ 4 9,4 XXL 10-40M€ 1 15 XXL 10-40M€ 4 62,1 baisse de la fréquence baisse de la sévérité

LUmière sur la CYberassurance / © Amrae - 13 - Entreprises de taille intermédiaire Le marché retrouve des marges de manœuvre Après une augmentation de 44 % en 2020 et de 20 % en 2021, le rythme de croissance du nombre d’entreprises de taille intermédiaire assurées contre le risque cyber a légèrement ralenti pour atteindre 12 % en 2022. Les 591 ETI couvertes par une police cyber représentent 10 % de l’effectif national des entreprises réalisant entre 50 M€ et 1,5 Md€ de chiffre d’affaires. Elles ont versé au total 38,20 M€ de prime d’assurance au titre de la garantie cyber : un volume global en hausse de 58 % par rapport à 2021. La prime moyenne s’établit donc à près de 65 000 € par entreprise sur ce segment. Grâce à une sinistralité très contenue (19,40 M€ d’indemnisation), le marché des ETI a retrouvé le chemin de la rentabilité avec un S/P de 50,7 % en 2022. Un soulagement pour les assureurs après une année 2021 marquée par un S/P de 260 % : cette année-là, les 24,20 M€ de primes collectées étaient loin de couvrir les 63,10 M€ d’indemnisations versées. Ces pertes ont rappelé la douloureuse année 2019 : le S/P du marché des ETI avait alors atteint le niveau record de 480 %. Le montant des indemnisations versées avait alors été près de 5 fois supérieur à celui des primes collectées. Il faut dire que le marché de l’assurance cyber était encore très jeune. Nous verrons dans le chapitre II comment ce marché a gagné en maturité depuis. ETI : la chute de la sinistralité améliore le S/P 85% 261% 51% 70 60 50 40 30 20 10 - 300 200 100 - 2020 2021 2022 M€ % n Primes n Sinistres l Ratio sinistres/primes 15 13 24 63 38 19

LUmière sur la CYberassurance / © Amrae - 14 - Sinistralité : une baisse de fréquence et d’intensité Les entreprises de taille intermédiaire n’ont pas connu de très gros sinistres en 2022, contrairement à l’année 2021 : deux sinistres à plus de 10 M€ et cinq sinistres indemnisés entre 3 et 10 M€, dont le coût total a atteint 53 M€, avaient alors largement contribué à la dégradation du S/P. Plus faible en intensité, la sinistralité a aussi baissé en fréquence : le nombre total de sinistres est passé de 110 en 2021 à 72 en 2022, pour une indemnisation moyenne de 266 000 € par sinistre. Distribution des sinistres des ETI 2019 2020 XL 3-10M€ 23 3 M & L 0,3-3M€ 0,8 XS & S 0-0,3M€ XS & S 0-0,3M€ 67 4,77 M & L 0,3-3M€ 7 5,76 XL 3-10M€ 1 4,5 XXL 10-40M€ 0 0 XXL 10-40M€ 0 0 100 80 60 40 20 - 56 16 17,5 baisse de la fréquence n Nombre n Montant des sinistres 2021 2022 XL 3-10M€ 24,6 5 M & L 0,3-3M€ 7,3 10 2,4 XS & S 0-0,3M€ 93 XS & S 0-0,3M€ 62 1,1 M & L 0,3-3M€ 9 8,8 XL 3-10M€ 2 9,5 XXL 10-40M€ 0 0 XXL 10-40M€ 2 28,8 100 80 60 40 20 - baisse de la sévérité

LUmière sur la CYberassurance / © Amrae - 15 - Entreprises de taille moyenne Dégradation du ratio sinistres/primes Largement positifs depuis 2019, les résultats des entreprises de taille moyenne se sont dégradés en 2022 pour atteindre le seuil symbolique de 100 % de S/P. Cette dégradation est essentiellement due à l’explosion de la sinistralité, dont le coût a presque doublé entre 2021 (2,40 M€) et 2022 (4,50 M€). La croissance du nombre d’entreprises assurées (+53 % en 2022) associée à la croissance du volume global de prime (+84 %) n’a pas permis d’absorber cette dérive de la sinistralité. On peut donc s’attendre à voir les assureurs nettoyer leur portefeuille en durcissant les conditions d’accès à l’assurance cyber, comme ils l’ont déjà fait sur les marchés des grandes entreprises en 2020 et sur celui des entreprises de taille intermédiaire en 2021. Ce qui leur a permis, dans les deux cas, de retrouver des résultats positifs. La prime moyenne des 492 entreprises assurées est légèrement inférieure à 9 200 €, en hausse de 27 % par rapport à 2021. Entreprises de taille moyenne : la sinistralité dégrade le S/P 36% 100% 7 6 5 4 3 2 1 - 120 90 60 30 - 2020 2021 2022 M€ % n Primes n Sinistres l Ratio sinistres/primes 5 2 2 1 5 5 45%

LUmière sur la CYberassurance / © Amrae - 16 - Des sinistres de forte intensité au regard de leur taille En 2022, seulement 10 sinistres ont été indemnisés sur le segment des entreprises de taille moyenne. Mais ils ont coûté plus de 4,50 M€ aux assureurs : le coût moyen de chacun de ces sinistres (450 000 €) est près de deux fois supérieur au coût moyen des sinistres indemnisés sur la même période sur le segment des ETI (266 000 € en 2022).

LUmière sur la CYberassurance / © Amrae - 17 - L’étude Lucy fait apparaître une chute de la sinistralité particulièrement marquée pour les grandes entreprises et les entreprises de taille intermédiaire. La menace cyber aurait-elle baissé ? La 8e édition du baromètre Cesin 1 fait apparaître une baisse régulière du nombre d’entreprises ayant subi au moins une attaque significative : de 71 % en 2020, il est passé à 54 % en 2021 et 45 % en 2022. Mais cela ne signifie pas que la menace diminue. C’est en réalité la défense qui progresse : de nombreuses attaques sont bloquées ou contenues avant d’avoir produit des dégâts significatifs et c’est bien ce que l’on cherche à mesurer dans le baromètre. Les entreprises ont investi pour renforcer leurs capacités : elles disposent en moyenne de 14,9 solutions de sécurité au centre desquelles se trouve très souvent (dans 81 % des cas) le couple EDR (Endpoint Detection Response) et MFA (authentification multifacteur). Les PME sont-elles logées à la même enseigne ? Non. Malheureusement, ces entreprises sont toujours en difficulté. Les investissements nécessaires à la sécurité d’un système d’information ne peuvent pas être strictement proportionnels à la taille d’une entreprise. Il y a un seuil minimum de moyens de défense en deçà duquel il est risqué de descendre. Il faut, par exemple, avoir un minimum de ressources cyber avec un professionnel en charge du sujet. Quels éléments vous semblent les plus menaçants à court et moyen terme ? Nous devons être attentifs aux cyberattaques dites de la « supply chain », telles que les ont connues Solarwinds en 2020 ou 3CX dernièrement. Cette solution de téléphonie par voix sur IP est installée sur quelques centaines de milliers de postes de travail dans le monde. Début 2023, 3CX s’est rendu compte que sa dernière version avait été compromise par un malware qui, par effet rebond, a infecté un grand nombre de clients. Le risque est que ce logiciel soit jugé légitime par les entreprises clientes : si un EDR alerte sur un comportement suspect, celui-ci risque de passer sous les radars car l’entreprise pensera qu’il s’agit d’un faux-positif, ne mettant pas en doute l’intégrité d’un logiciel de grande diffusion. Du côté des entreprises, il est difficile de détecter et de parer à ces attaques. Celles-ci, de par leur effet multiplicateur sur tous les clients d’un produit, peuvent causer des dégâts importants. Il faut souhaiter qu’elles n’augmentent pas de façon significative. Plus que la guerre d’Ukraine ? Cette guerre a produit de nombreux faits cyber, mais plutôt régionaux, sans réelle escalade internationale. Mais une reprise des attaques ne peut être exclue. Le conflit est toujours là et les deux parties ont développé des compétences cyber très pointues. « Le nombre d’attaques ne semble pas avoir diminué, mais il est probable que les défenseurs aient fait des progrès ! » MYLÈNE JAROSSAY CISO de LVMH Group et présidente du Cesin (Club des experts de la sécurité de l’information et du numérique) INTERVIEW 1. https://www.cesin.fr/articles-slug/?slug=8ème édition du baromètre annuel du CESIN

LUmière sur la CYberassurance / © Amrae - 18 - 2. RETOUR SUR QUATRE ANS DE COUVERTURE DU RISQUE CYBER L’assurance cyber se diffuse dans toutes les strates de l’économie «Les résultats de la 3e édition de l’étude Lucy font apparaître une montée en maturité du marché de l’assurance cyber, explique Philippe Cotelle, administrateur de l’Amrae et président de sa commission cyber, vice-président de Ferma et Risk Manager d’Airbus Defence & Space. L’expérience acquise sur le marché des grandes entreprises se diffuse progressivement aux ETI, puis aux entreprises de taille moyenne avant d’infuser sur le segment des petites entreprises. » Cette courbe d’expérience apparaît clairement sur le schéma ci-dessous : le mouvement part des grandes entreprises, se diffuse un an plus tard aux entreprises de taille intermédiaire puis, l’année suivante, aux entreprises de taille moyenne. La forte souscription des grandes entreprises voit sa traduction dans la sinistralité n Variation du nombre d’entreprises assurées par rapport à l’année précédente n Ratio sinistre/prime Grandes entreprises ETI Entreprises de taille moyenne 25 20 15 10 5 - -5 2022 2021 2020 21% 17% -4% % 60 50 40 30 20 10 - -10 2022 2021 2020 16% 53% -11% % 25 20 15 10 5 - 2022 2021 2020 12% 20% % 200 150 100 50 - 2022 2021 2020 190% 16% 58% % 100 80 60 40 20 - 2022 2021 2020 45% 100% 36% % 300 250 200 150 100 50 - 2022 2021 2020 85% 51% 261% % L’année suivante même phénomène pour les ETI L’année suivante même phénomène pour les PME

LUmière sur la CYberassurance / © Amrae - 19 - Grandes entreprises : 2020, année de bascule En 2020, le nombre de grandes entreprises couvertes par une assurance cyber a augmenté de 21 %. La sinistralité a alors explosé, passant de 31 M€ en 2019 à 205,10 M€ en 2020. Face à un ratio sinistres à primes très dégradé (190 %), les assureurs ont réagi en augmentant les taux de primes et en abaissant le niveau des capacités disponibles. Le taux de prime des grandes entreprises est ainsi passé de 0,93 % en 2019 à 2,70 % en 2022. Il a donc été multiplié par trois. «Ce mouvement de hausse s’est interrompu au cours de l’année 2022, observe Philippe Cotelle. Les taux de prime auraient commencé à se stabiliser, voire à baisser au cours du second semestre. » Pour atténuer la très forte augmentation des taux de prime, assureurs et entreprises ont actionné le levier de la franchise, dont le montant moyen a lui aussi fortement augmenté : de 4 M€ en 2021, il est passé à 6,40 M€ en 2022. Parallèlement, les capacités disponibles ont baissé en 2021 (elles sont alors passées de 41 M€ à 31,20 M€). Elles ont repris le chemin de la croissance en 2022, mais à 35,20 M€, elles n’ont pas encore retrouvé le niveau de 2019 (il était alors de 38 M€). L’année 2020 a donc été un point de bascule pour le marché des grandes entreprises : la très forte dégradation du S/P a alors entraîné une réaction très vigoureuse des assureurs qui ont nettoyé leur portefeuille en durcissant les conditions de souscription. Cette correction semble avoir permis au marché de trouver son équilibre. Mais un équilibre qui reste tributaire de la sinistralité : n’oublions pas que le volume de primes collectées sur le marché des grandes entreprises (267 M€ en 2022) est inférieur au coût d’une très grosse attaque… Quoiqu’encore précaire, cet équilibre donne de l’appétence aux assureurs, qui reviennent sur le marché du risque cyber, et de la confiance aux entreprises : le taux de couverture des grandes entreprises a fortement progressé en 2022. Aujourd’hui, selon les données de l’étude Lucy, 281 grands groupes sur 287 sont assurés : leur taux de couverture atteint 98 %.

LUmière sur la CYberassurance / © Amrae - 20 - Grandes entreprises : durcissement des conditions de souscription en 2021 2020 2021 2022 % n Évolution du taux de prime moyen n Évolution de la capacité soucrite moyenne 11% 8% 33% 13% -24% 97% 100 75 50 25 - -25 LE PRIX D’UNE ASSURANCE CYBER Ce coût moyen est calculé à partir des résultats de l’étude cyber. Il n’a qu’une valeur indicative : le montant réel des cotisations ne dépend pas seulement de la taille d’une entreprise mais aussi de son activité, de son exposition au risque cyber, de ses investissements en prévention, de son historique de sinistralité… l Grandes entreprises (plus d’1,5 Md€ de CA) : 950 000 € de prime annuelle pour une capacité de 35 M€ avec 6,50 M€ de franchise. l Entreprises de taille intermédiaire (50 M€ à 1,5 Md€ de CA) : 65 000 € de prime annuelle pour une capacité de 6 M€ avec une franchise de 450 000 €. l Entreprises de taille moyenne (10 à 50 M€ de CA) : 9 100 € de prime annuelle pour une capacité de 2,30 M€ avec une franchise de 48 000 €.

LUmière sur la CYberassurance / © Amrae - 21 - Entreprises de taille intermédiaire : tout change en 2021 Le mouvement de correction opéré en 2020 sur le marché des grandes entreprises a eu lieu un an plus tard sur le segment des entreprises de taille intermédiaire. En 2020, le nombre d’ETI couvertes a augmenté de 43 %. Cette amélioration du taux de couverture s’est traduite dès l’année suivante par une dégradation du risque : la sinistralité a explosé, passant de 12,70 M€ en 2020 à 63,10 M€ en 2021. Le ratio sinistres/ primes a alors dérapé, passant de 85 % en 2020 à 260 % en 2021. La réaction des assureurs ne s’est pas fait attendre : augmentation des taux de primes (de 0,45 % en 2020 à 0,70 % en 2021), relèvement des franchises (de 227 000 € en 2021) et abaissement du niveau de capacités disponibles (de 7,50 M€ en 2020 à 6,50 M€ en 2021). C’est à ce prix que le marché est revenu à l’équilibre, avec un S/P de 50,7 % en 2022. Il a ainsi retrouvé la confiance des assureurs et devrait redonner de l’appétence aux entreprises. À ce jour, seulement 10 % des ETI sont couvertes par une assurance cyber. Le nombre d’entreprises couvertes n’a que très légèrement progressé (+12 %) en 2022 : à l’échelle du potentiel de ce marché, on ne peut pas vraiment parler de croissance. Il faudra sans doute attendre 2 023 ou 2024 pour voir le taux de couverture des ETI augmenter réellement. ETI : évolution des conditions de souscription 2020 2021 2022 % n Évolution du taux de prime moyen n Évolution de la capacité soucrite moyenne 38% -7% 54% -8% -13% 56% 60 45 30 15 - -15

LUmière sur la CYberassurance / © Amrae - 22 - Entreprises de taille moyenne : l’heure est venue Pour les entreprises de taille moyenne, la grande bascule est encore à venir : en 2022, le nombre d’entreprises couvertes a progressé de 53 %, dégradant la qualité du risque. Le ratio S/P a atteint le seuil symbolique de 100 %, avec 4,50 M€ d’indemnisations versées pour 4,50 M€ de primes collectées. On peut donc s’attendre à une correction moins sévère que sur le marché des ETI. Mais le niveau des capacités disponibles (2,30 M€) devrait se comprimer et le taux de prime augmenter (0,40 % en 2022). À moins que le relèvement des franchises, déjà opéré en 2022 (leur montant moyen est passé de 32 200 € à 47 300 €), se poursuive pour amortir le choc. Entreprises de taille moyenne : évolution des conditions de souscription n Évolution du taux de prime moyen n Évolution de la capacité soucrite moyenne % 60 40 20 - -20 -40 -60 2020 2021 2022 45% -54% -1% 7% 13% 22%

LUmière sur la CYberassurance / © Amrae - 23 - 3. PERSPECTIVES 2023 ET 2024 Vers un nouvel équilibre de marché Les grandes entreprises et les entreprises de taille intermédiaire semblent avoir trouvé un équilibre de marché : les taux de primes devraient se stabiliser et les capacités disponibles augmenter en 2023 et 2024. En revanche, les entreprises de taille moyenne tout comme les petites et les microentreprises devraient subir l’ajustement de marché que les plus grandes entreprises ont connu. Il est déjà en cours pour les entreprises de taille moyenne et devrait intervenir en 2024 pour les plus petites entreprises. Gagner en mutualisation pour réduire la volatilité L’équilibre trouvé sur le marché des grandes entreprises et des ETI est en grande partie lié à la baisse de la sinistralité. Est-elle conjoncturelle ou structurelle ? Les mesures de prévention et de protection prises par les entreprises ont-elles réellement porté leurs fruits ? La guerre d’Ukraine va-t-elle faire exploser le nombre d’attaques ? Il est encore trop tôt pour répondre… Mais une certitude demeure : le risque cyber reste volatil. En 2017, les attaques du malware NotPetya ont coûté respectivement 620 M$ aux laboratoires Merck, 300 M$ à FedEx, autant à Maersk et 250 M$ à Saint-Gobain. Le coût cumulé de ces quatre sinistres représente près de cinq fois le volume global de cotisations perçues en 2022 par les assureurs sur le marché français (315,7 M€). «Un montant encore trop faible pour absorber de très gros sinistres», commente Philippe Cotelle. Cette volatilité est perçue par les assureurs comme un facteur de risque. C’est ainsi que le Lloyds’ de Londres a annoncé en août 2022 qu’il ne couvrirait plus les pertes résultant de cyberattaques soutenues par des états. « Pour l’heure, cette position n’est pas suivie par les réassureurs et les assureurs français, observe Philippe Cotelle. Mais elle témoigne d’une certaine nervosité à l’égard du risque cyber, dont l’avenir reste difficile à déchiffrer. » Une augmentation massive du nombre d’entreprises assurées, donc du volume de primes collectées, permettrait de mieux absorber les sinistres extrêmes. De ce point de vue, les résultats de l’année 2022 - très positifs pour les assureurs - sont un bon signal : « Les assureurs retrouvent de l’appétence pour le risque cyber », se félicite Philippe Cotelle.

LUmière sur la CYberassurance / © Amrae - 24 - Adapter le processus de souscription à la taille des entreprises L’augmentation du taux de couverture des entreprises passe, certes, par un équilibre pérenne du marché. Mais elle repose aussi sur une simplification des procédures de souscription. Ou, à tout le moins, sur une adaptation du questionnaire de souscription à la taille des entreprises : les PME ne sont tout simplement pas outillées pour répondre à un questionnaire de plusieurs dizaines de pages. En juin 2021, la Direction générale du Trésor a installé un groupe de travail portant sur le développement d’une offre assurantielle de couverture des risques cyber. Ce dernier a clairement identifié la simplification des procédures de souscription comme un sujet important.

LUmière sur la CYberassurance / © Amrae - 25 - CE QU’IL FAUT RETENIR l Le marché de l’assurance cyber est revenu en territoire positif. Ce risque, qui semblait inassurable il y a peu, a de nouveau attiré les assureurs en 2022. l Après avoir fortement baissé en 2020 et 2021, le niveau des capacités souscrites a repris le chemin de la croissance. Il n’a pas encore retrouvé le niveau de 2019 mais cela ne devrait tarder compte tenu du regain d’intérêt des assureurs pour le risque cyber. l Après trois ans d’augmentation, les taux de prime ont semblé marquer le pas fin 2022, incitant les entreprises à s’assurer à la hauteur de leur exposition. l Les PME suivent la même courbe d’apprentissage que les grandes entreprises et les ETI. L’assurance cyber pénètre progressivement toutes les strates de notre tissu économique. l Le marché de l’assurance cyber semble avoir trouvé une forme d’équilibre. La hausse du taux de couverture des entreprises et la baisse de la sinistralité sont des signaux positifs, de nature à accélérer la croissance du marché. l Mais cet équilibre est encore fragile : le volume total de primes encaissées en France au titre de la garantie cyber est équivalent au coût d’un très gros sinistre cyber. Une attaque de grande ampleur suffirait à remettre cet équilibre en question. l La guerre d’Ukraine n’a pas eu pour effet d’augmenter le nombre d’attaques cyber en France. Mais rien ne dit que ce sera toujours le cas dans les mois ou les années à venir. l Autre élément d’incertitude sur la sinistralité : l’intelligence artificielle pourrait accroître la fréquence et l’intensité des attaques cyber. l Les assureurs restent prudents à l’égard d’un risque encore volatil. Signe de cette prudence, le Lloyd’s de Londres a décidé de modifier la couverture des actes de cyberguerre. l Ces nouvelles conditions de souscription pourraient réduire l’appétence des entreprises à l’égard de l’assurance cyber. l Pour améliorer l’attractivité des couvertures cyber, les assureurs ont intérêt à simplifier les process de souscription et à les adapter à la taille des entreprises.

LUmière sur la CYberassurance / © Amrae - 26 - ANNEXE Le marché de l’assurance cyber en un coup d’œil Nombre d’entreprises assurées Évolution par rapport à 2021 Volume de primes collectées en 2022 Évolution par rapport à 2021 Taux de prime (% du chiffre d’affaires couvert) Évolution par rapport à 2021 Nombre de sinistres indemnisés Évolution par rapport à 2021 Volume d’indemnisations versées en 2022 Évolution par rapport à 2021 Ratio sinistres/ primes Franchise moyenne en 2022 Évolution par rapport à 2021 Capacité moyenne en 2022 Évolution par rapport à 2021 Grandes entreprises (>1,5 Md€ de CA) 281 +17 % 266 978 513 € +76 % 2,70 % +33,27 % 47 -18 % 43 153 262 € -51 % 16 % 6 443 876 € +61 % 35 230 285 € +12,7 % Entreprises de taille intermédiaire (50 M€ à 1500 M€) 591 +12 % 38 178 541 € +58 % 1,07 % +54,07 % 73 -34 % 19 419 283 € -69 % 51 % 436 030 € +91 % 6 017 885 € -8 % Entreprises de taille moyenne (10 à 50 M€) 492 +53 % 4 508 378 € +84 % 0,40 % +21,78 % 30 +15 % 4 509 888 € +405 % 100 % 47 269 € +47 % 2 301 632 € -1,3 % Petites entreprises (2 à 10 M€) 624 +24 % 2 150 050 € -36 % 0,57 % -12,74 % 10 -97 % 1 401 200 € -87 % 65 % 8 721 € +14 % 599 895 € -41 % Micro-entreprises (moins de 2 M€) 7 684 Non significatif 3 888 890 € +208 % 0,16 % -50,72 % 17 +143 % 2 336 200 € +6 158 % 60 % 307 028 € -65 % 35 230 285 € +12,7 % TOTAL 9 672 Non significatif 315 704 371 € +72 % Non significatif 177 -66 % 71 -57 % 22 % Non significatif Non significatif

36 boulevard Sébastopol - 75004 Paris Tél. : 01 42 89 33 16 - www.amrae.fr Contact presse : SEITOSEI - Olivier Coppermann olivier.coppermann@seitosei.fr - 06 07 25 04 48

RkJQdWJsaXNoZXIy MTkzNjg=