L'édition 2025 du rapport LuCy (Lumière sur la Cyber assurance) consacrée à l’analyse du marché 2024, confirme certaines tendances déjà observées dans l'édition précédente, mais l'étude de l'AMRAE passe sous silence, nous pensons à son corps défendant, plusieurs sujets qui aideraient à la compréhension.  

Un marché plus mature, ou plus silencieux ?

Le rapport se félicite d’une sinistralité « acceptable » : 17 % de ratio sinistres/primes, contre 12 % l’année précédente. Ce chiffre cache une réalité plus nuancée : les petits sinistres explosent mais sont moins indemnisés qu'en 2023 (-32% d'indemnisation chez les ETI), tandis que deux sinistres XXL réapparaissent discrètement chez les grandes entreprises ce qui fait dire à l'AMRAE que les attaques sont plus sévères. Cela nous parait un peu rapide pour en faire une tendance en conclusion. En effet, il aurait été utile de savoir si pour ces 2 entreprises indemnisées en 2024, le sinistre est d’une part survenue en 2024 et d'autre par si ces 2 entités avaient obtenu une baisse de franchise l'année précédente ou encore si elles étaient déjà assurées ou pas. Autant d'informations qualitatives qui permettraient d'apprécier les précieuses informations de cette édition.  

Côté volume, les chiffres semblent rassurants, mais la lecture attentive montre une baisse des primes collectées (317 M€ contre 328 M€ en 2023) et une réduction continue des franchises (-18 % chez les grandes entreprises, -50 % pour les ETI). Pourtant les ETI et PME ayant souscrit un contrat d'assurance cyber sont en hausse de près d'un tiers. Les entreprises ne paient pas moins cher pour être mieux couvertes, elles paient moins parce qu’elles réduisent aussi leurs niveaux de garantie. Le rapport pointe d'ailleurs, que dans un contexte économique difficile, les entreprises sont tiraillées entre des choix budgétaires qui forcent à trouver un équilibre entre investissements liés à l'IA et cybersécurité. 

Mais il y a peut-être une autre raison, liée à la perception concrète du service qu'un assureur cyber peut réellement apporter et en cas de crise et de l'obtention des garanties. Aujourd'hui, les entreprises ne sont plus convaincues que le risque cyber concerne les autres comme il y a encore quelques années. Le choix des couvertures se fait certes à l'aune des budgets disponibles mais ce n'est pas l'unique facteur déterminant. A nos yeux c'est salutaire car contrairement aux clients de la première heure ces entreprises ne considèrent pas qu'elles ne sont pas concernées par la prévention puisqu'elles ont un assureur... 

Autre point qui interroge, la baisse de près de 90% des sinistres et des montants indemnisés chez les TPE bien que la prime augmentât de 39% entre 2023 et 2024. Comment l'expliquer alors que ce segment comptait pour moins de 5% du total des montants indemnisés en 2023 ? (Passé à 0,36% en 2024). Comment expliquer "l'exclusion" de cette catégorie ? Là encore, des précisions sur les évolutions de l'offre de marché et des pratiques en souscription pourraidnt apporter un éclairage utile pour comprendre les données brutes du rapport.  

Sous-assurance structurelle : tout va bien, sauf quand ça brûle

Comme en 2022 et 2023, la croissance du nombre d’assurés (+32 % pour les ETI, +33 % pour les entreprises moyennes) ne compense pas la baisse globale des budgets consacrés à l’assurance. Le marché se détend, certes, mais les garanties souscrites restent largement inférieures à l’exposition réelle des entreprises.

Le rapport note que les grandes entreprises n’augmentent que faiblement leur capacité assurée (42,6 M€ en moyenne contre 39,6 M€ en 2023), malgré un chiffre d’affaires souvent supérieur au milliard d’euros. La question de la sous-assurance reste donc posée. Mais aucune analyse structurelle ne vient quantifier ce gap. 

Pour autant, à notre avis, la sous-assurance est plus à rechercher du côté des ETI et des PME que des grandes entreprises qui depuis 5 ans se sont dotées de SI résilients mais surtout de mécanismes de détection efficaces avec souvent une segmentation par zones ou métiers qui permettent de limiter la diffusion d'une attaque. 

Et toujours ces angles morts…

LUCY continue de s’appuyer sur les données de courtiers – un effort méritoire et rare – mais cette source a ses limites :

• Aucune quantification des refus de garantie : un indicateur pourtant clé pour comprendre les points de friction entre assureurs et assurés.

• Silence sur les captives : alors que nombre de grandes entreprises migrent vers ce modèle alternatif pour conserver leur autonomie.

• Peu d'éléments sur l'évolution de l'offre d'assurance cyber et des pratiques : pourtant cruciale pour apprécier certains indicateurs. 

• Pas de distinction entre les assureurs classiques et les insurtech : d'ailleurs, on ne sait pas s'ils sont inclus dans le rapport...

Bref, une photographie bien cadrée, mais qui manque de profondeur de champ. On ne peut pas en faire grief à l'AMRAE qui travaille avec les données qu'on lui fournit. 

Notre conclusion : Vigilance affichée mais manque de prudence sur le terrain

LUCY 2025 confirme ce que les professionnels savent déjà : le marché s’assouplit, la demande augmente, la sinistralité est contenue... mais les fondations restent fragiles, ce qui était déjà annoncé en 2024. 

Le retour des sinistres majeurs (à relativiser à ce stade), l’émergence de nouvelles menaces (IA générative, automatisation des attaques) et les exigences réglementaires (NIS 2, DORA) imposent une gestion du risque beaucoup plus rigoureuse... 

Dans les faits, nous avons conclu notre analyse l'année dernière par : "Les prochains sinistres sont là, chez les PME et les ETI, c'est à dire sur un segment de marché convoité et âprement disputé, pour lequel nous nous interrogeons de plus en plus sur la qualité des portefeuilles."

LUCY 2025 montre que c'est bien le cas. Nous pensons que cette tendance n'a pas encore atteint son point de bascule compte-tenu de la compétition féroce en souscription et de la réduction continue des primes et franchises. 

Attention donc au retour de manivelle pour les assurés comme pour les assureurs qui bradent ou restreignent leurs garanties. 

Télécharger le rapport LuCy 2025