Stratégie

De plus en plus abordable, la cyber assurance séduit les ETI

Face aux cybermenaces, les entreprises s'assurent. D'autant que la concurrence dans la cyber assurance a fait chuter les franchises et les primes. (Photo : Pixabay/V.Fill)

Selon une étude de l'Amrae, le nombre d'incidents cyber indemnisés et le montant total d'indemnisation augmentent. Le marché, tiré par les ETI, pourrait cependant vite basculer si un ou deux événements cyber majeurs se déclaraient.

PublicitéUn nombre de sinistres indemnisés et un montant total d'indemnisation en hausse, mais une baisse du total des cotisations. Tel est le portrait de la cyber assurance en France, dessiné par l'Amrae (Association pour le management des risques et des assurances de l'entreprise) dans son étude annuelle Lumière sur la cyberassurance (Lucy), publiée le 2 juin. Un portrait réaliste puisque l'étude repose sur l'agrégation exhaustive des données anonymisées des portefeuilles de la quasi-totalité des courtiers français, et donc sur une observation de la situation réelle de la cyber assurance.

Reste que les raisons conduisant à cette situation sont nombreuses et variées, et loin d'être uniquement liées à une soudaine prise de conscience des entreprises en matière de risque cyber. Des différences importantes apparaissent en particulier entre les plus grandes organisations dont le comportement se stabilise, et les ETI et moyennes structures qui se laissent tenter par un marché favorable. « En 2025, une compétition féroce a eu lieu entre assureurs cyber [baisse des taux de prime et des franchises, entre autres] soit pour maintenir leur part de marché, soit pour en acquérir, précise ainsi Philippe Cotelle, administrateur de l'Amrae et président de la commission cyber de l'association. Cela a eu pour conséquence une baisse historique des prix et une amélioration des conditions sur ce marché. Le résultat, c'est une stagnation du volume de prix face à une sinistralité pourtant en hausse. »

Des conditions de primes et de franchise favorables

En 2025, 1251 sinistres ont été indemnisés, contre seulement 448 l'année d'avant, soit une hausse de 179% essentiellement venue des ETI (de 51 à 63 sinistres indemnisés entre 2024 et 2025 dans les grandes entreprises, de 100 à 248 dans les ETI). Et le montant total des indemnisations de ces sinistres cyber s'est élevé à 83,2 M€ contre 54,5M€ en 2024 (+ 53%). Les montants indemnisés sont stables dans les grandes entreprises (+2%), mais ils explosent dans les ETI avec un quasi quadruplement du total, qui passe de 6,8 M€ en 2024 à 28,8 M€ cette année. Selon l'Amrae, ces variations sont liées en grande partie aux conditions favorables proposées par les assureurs. Et c'est pour ces mêmes raisons que le niveau de sinistralité constaté par l'Amrae ne se traduit pas dans le montant des primes de cyber assurance.

Dans leur ensemble, les organisations n'ont souscrit que pour un montant total de 306 M€ en 2025, contre 317 M€ en 2024 et 328 M€ en 2023, soit un peu plus de 3% de moins chaque année. La capacité totale de souscription des risques cyber pour les grandes entreprises est par ailleurs passée de 42 M€ à 50,5 M€ en un an, mais avec un taux de prime qui a plongé de 1,90% à 1,28%. Pour les ETI, elle a baissé de 4,5 M€ à 4,2 M€ avec un taux de prime en chute moindre, mais de 1,06% à 0,81%, qui proviendrait simplement de l'arrivée massive d'entreprises dans la catégorie ETI.

PublicitéPar ailleurs, si le nombre de grandes entreprises ayant contracté une assurance cyber a augmenté de 8%, celles qui contribuent à cette croissance se trouvent plutôt dans le bas de cette catégorie d'organisations. L'Amrae attribue la tendance principalement à l'augmentation du nombre d'ETI devenues grandes entreprises. Le nombre d'ETI ayant souscrit une assurance cyber a également augmenté (+75%) tout comme celui des entreprises de taille moyenne (+97%). Cette forte augmentation trouve sa source dans plusieurs phénomènes : une prise de conscience plus forte de cette catégorie de risque certes, mais aussi des conditions de marché avec des taux favorables et un niveau d'accession à l'assurance cyber plus favorable que les années précédentes.

Multiplication du nombre de petits sinistres indemnisés

Comme le rappelle Philippe Cotelle, les assureurs ont aussi simplifié les questionnaires à remplir pour s'assurer ; leur complexité constituait jusqu'à récemment une véritable barrière à l'entrée. Par ailleurs, face au marché saturé des grandes entreprises, les courtiers se sont tournés vers les ETI et les moyennes entreprises. Enfin, cette augmentation du nombre de cyber assurés de taille moyenne bénéficierait, selon l'étude, davantage à des acteurs non traditionnels. « Nous avons vu apparaître chez les courtiers de nouveaux acteurs tels que Dattak et Stoik qui proposent notamment des services techniques en cybersécurité en plus de leur activité de conseil en assurance, confirme Philippe Cotelle. Cela semble attirer un certain nombre d'entreprises, qui n'ont pas en interne ce type de compétences et participe ainsi à l'augmentation importante du nombre d'entreprises qui s'assurent. »

L'étude décrit également la typologie des événements indemnisés en fonction de leur impact financier. Elle ne recense en 2025 qu'un seul sinistre « XXL », autrement dit entraînant des dommages supérieurs à 10 M€. Ceux situés entre 3 et 10 M€ et entre 300 k€ et 3 M€ ont continué d'augmenter de façon significative. Mais ce sont surtout les petits sinistres (moins de 300 k€) qui se sont multipliés, dans la continuité de 2024. Cette tendance est autant liée au nombre croissant d'attaques qu'encore une fois à la baisse du montant des franchises.

Jusqu'ici, tout va bien

Ainsi, le marché de la cyber assurance est toujours en croissance si l'on parle de souscription, mais le volume total de primes est en contraction et la sinistralité augmente. Le ratio sinistres sur primes (loss ratio) est de 27%, en croissance de 10 points. « Nous sommes un peu dans la situation de quelqu'un qui chute d'un immeuble et dit à chaque étage : "jusqu'ici, tout va bien", estime le président de la commission cyber de l'Amrae. La situation de la cyber assurance est fragile, et un ou deux sinistres majeurs de l'ampleur de celui intervenu chez Jaguar Land Rover l'an dernier [ou chez Marks & Spencer ou Co-op, cités dans l'étude Lucy] suffiraient à déstabiliser le marché et à nous replacer dans la situation vécue en 2020 avec un retournement brutal ».