Un impact financier en termes de perte d’exploitation supérieur à 300 millions de livres sterling (environ 356 millions d’euros), une perte de données évaluée à 59 millions de livres sterling (70 millions d’euros) et une action de groupe en préparation…. La méga facture de l’attaque informatique dont a été victime le géant britannique de la distribution Marks & Spencer n’est pas passé inaperçue des spécialistes de l’assurance cyber de l’Association pour le management des risques et des assurances de l’entreprise (Amrae).
« Cela montre bien que la menace existe et que les impacts que l’on peut subir sont rapides et importants », a souligné ainsi l’un des porte-paroles de l’association lors d’une présentation des résultats de sa dernière étude sur le marché de l’assurance cyber.
En France, cette structure, qui rassemble environ 1850 membres travaillant dans le management des risques dans plus de 850 organisations privées et publiques a aussi noté deux sinistres « XXL », supérieurs à dix millions d’euros en 2024.
Retour des gros sinistres
Les deux organisations n’ont pas été identifiées nommément. Ce retour des gros sinistres, « qui avaient disparu » en 2023, s’accompagne également « d’une augmentation de la fréquence des petits sinistres », souligne Philippe Cotelle, le président de la commission cyber de l’Amrae. Les entreprises de taille intermédiaire sont dans « un schéma assez similaire à celui des grandes entreprises avec un nombre de déclarations de très petits sinistres, petits sinistres et sinistres moyens qui augmente », poursuit-il.
Outre une menace informatique en hausse, cette augmentation de la sinistralité peut s’expliquer par une « plus grande maturité » des organisations ».
Ces dernières déclarent peut-être plus systématiquement leurs sinistres, poussée par la nouvelle réglementation, se demande l’Amrae. Dans les chiffres, cette hausse est toujours gérable pour les assureurs. Même si les indemnités versées en France sont passées de 38 millions d’euros à 54 millions d’euros, le ratio entre les sinistres et les primes est de 17%, un taux acceptable.
Prix en baisse
Résultat : pour les spécialistes, le prix de l’assurance cyber devrait encore baisser en 2025. L’an passé, le taux de prime moyen a diminué de 18%. Une « première » depuis le début de cette étude scrutant le secteur avec des données remontant jusqu’en 2019, souligne l’association. Une bonne nouvelle : le marché de l’assurance cyber a ainsi été en 2024 en croissance dans les entreprises de taille moyenne ou intermédiaire.
Dans ces deux catégories, selon les chiffres de l’Amrae, la hausse aurait été d’environ un tiers. Ce qui montrerait, souligne-t-elle, « une pénétration progressive » de ce type d’assurance « dans les différentes couches de l’économie ». Soit le résultat sans doute à la fois d’une « prise de conscience » mais aussi des efforts des courtiers, analyse Philippe Cotelle.
Mais pour les grandes entreprises, cette baisse des prix a d’abord été mise à profit pour réduire leur budget plutôt que d’ajuster leur couverture. Pas forcément un bon calcul, en témoignent les mésaventures de Marks & Spencer. Son assurance cyber ne couvrirait les pertes, ont relayé les analystes spécialisés, que jusqu’à 100 millions de libres sterling (environ 119 millions d’euros).