C. LES FACTEURS EXPLICATIFS : UN ENVIRONNEMENT DE RISQUE EN MUTATION
1. Les clefs pour comprendre l'évolution du marché de l'assurance aux entreprises
Les courtiers auditionnés par vos rapporteurs, Jean-Marc Esvant, directeur général adjoint du groupe Verlingue, et Gilles Beneplanc, directeur général du Groupe Adélaïde, ont apporté un éclairage transversal sur l'évolution du marché de l'assurance des entreprises, confirmant les tensions observées dans plusieurs secteurs dits « à risques ».
Ils relèvent que l'une des causes majeures de la contraction actuelle de l'offre assurantielle tient à la transformation rapide du paysage des risques, combinée à une régulation dense, parfois contradictoire, et à une aversion accrue au risque de la part des assureurs. Le cycle haussier entamé après 2019 se poursuit, bien que certaines branches (notamment en IARD) connaissent une légère inflexion. Les assureurs se montrent plus sélectifs, notamment dans les secteurs du transport public, de l'agroalimentaire, des établissements médico-sociaux ou du traitement des déchets.
Les courtiers mettent également en lumière l'effet indirect des politiques ESG dans la réduction de l'« appétit » assurantiel sur certaines activités industrielles jugées sensibles (défense, énergie, chimie), ainsi que l'absence d'une politique systématique d'investissement en prévention, qui pourrait pourtant améliorer la mutualisation du risque.
Ils insistent sur le rôle clé du courtage dans l'accès au marché assurantiel. En tant que mandataires des entreprises, les courtiers sont à même de structurer une stratégie de gestion des risques, d'identifier des solutions alternatives (y compris à l'international) et de dialoguer avec les assureurs sur les conditions de couverture. Cette intermédiation est d'autant plus cruciale que les entreprises, en particulier les PME, souffrent d'une asymétrie d'information sur les critères de souscription et les leviers d'éligibilité aux garanties.
2. Le risque climatique
La notion de « risque climatique » recouvre une pluralité de phénomènes : inondations, sécheresses, submersions marines, tempêtes, grêle, mais aussi, plus récemment, feux de forêts ou mouvements de terrain liés à des épisodes de sécheresse-réhydratation des sols.
Par son ampleur croissante, sa fréquence désormais structurelle et ses effets systémiques, le risque climatique s'impose comme l'un des principaux défis du système assurantiel aujourd'hui. Au-delà de la seule question environnementale, il redéfinit profondément les équilibres économiques, juridiques et assurantiels, en particulier pour les entreprises exposées à des aléas de plus en plus imprévisibles.
Selon les données de la Caisse centrale de réassurance (CCR), le coût moyen annuel des catastrophes naturelles indemnisées en France est passé de 1,5 milliard d'euros sur la période 1990-2010 à plus de 3,4 milliards d'euros sur la décennie 2011-2021. À l'horizon 2050, ce coût pourrait atteindre 5 à 6 milliards d'euros par an si aucune mesure d'adaptation n'est prise.
Pour les entreprises, les conséquences sont multiples : pertes d'exploitation, dégâts aux bâtiments, destruction de stocks, interruption de chaînes logistiques, impossibilité d'honorer des engagements contractuels. En regard de ces conséquences, les dispositifs de couverture classiques, notamment le régime d'indemnisation des catastrophes naturelles (dit « CatNat »), peinent à absorber des chocs de plus en plus fréquents et intenses.
Certaines filières sont particulièrement vulnérables. Les entreprises du BTP, de l'agroalimentaire, de la logistique ou encore du tourisme doivent aujourd'hui faire face à des aléas climatiques qui perturbent leur activité de manière récurrente. En 2022, les épisodes de grêle exceptionnels dans le Sud-Ouest ont endommagé plus de 18 000 bâtiments professionnels, pour un coût global estimé à 1,1 milliard d'euros d'indemnisation. La même année, les inondations dans les Bouches-du-Rhône ont provoqué l'interruption temporaire de l'activité de plus de 200 PME industrielles. Ces sinistres, souvent mal anticipés, sont aussi mal couverts : la garantie pertes d'exploitation sans dommage reste encore peu répandue, malgré sa pertinence croissante.
Dans ce contexte, le rapport « Adapter le système assurantiel français face à l'évolution des risques climatiques » de Thierry Langreney, Gonéri Le Cozannet et Myriam Mérad4(*) insiste sur la nécessité de « réconcilier soutenabilité du système assurantiel et soutenabilité du territoire » en agissant simultanément sur l'adaptation des infrastructures, la prévention locale et l'évolution des outils assurantiels. Parmi les propositions phares, figurent la création d'un observatoire des risques climatiques à haute résolution territoriale, la révision des franchises prévues dans le cadre du régime d'indemnisation des catastrophes naturelles pour mieux refléter le niveau d'exposition réelle, et l'instauration d'un « bonus prévention » pour les entreprises ayant investi dans des mesures d'adaptation (rehaussement de locaux, systèmes d'alerte, dispositifs de résilience passive).
Le rapport souligne également que certaines zones deviennent progressivement « inassurables » : littoraux soumis à l'érosion, vallées sujettes à des crues rapides, zones argileuses affectées par le retrait-gonflement des sols. Pour les entreprises situées dans ces secteurs, la question de la continuité économique se pose avec acuité. L'absence de solution d'assurance limite l'accès au crédit, freine les projets d'investissement et fragilise la pérennité même de l'activité.
Enfin, au-delà de la gestion du risque ex post, le rapport appelle à une gouvernance rénovée du risque climatique, reposant sur une coopération étroite entre les assureurs, les entreprises, les collectivités territoriales et l'État.
L'assurance ne peut plus être perçue comme un simple produit financier de protection : elle devient un outil stratégique de résilience économique et d'aménagement du territoire. C'est à cette condition qu'elle pourra continuer à jouer pleinement son rôle dans un environnement désormais marqué par la discontinuité des repères climatiques.
3. Le risque cyber
Étudié par votre délégation en 2021 dans le rapport d'information « La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre le cyber virus ? »5(*) de nos collègues alors Sébastien Meurant et Rémi Cardon, le risque cyber renvoie à l'ensemble des risques liés à l'usage des technologies numériques. Il s'agit d'un risque opérationnel portant sur la confidentialité, l'intégrité ou la disponibilité des données et systèmes d'information. Ces risques peuvent naître d'une erreur humaine et non intentionnelle (transmission involontaire de données, téléchargement involontaire d'un logiciel malveillant...) ou d'un accident. Ils peuvent également prendre la forme d'une malveillance informatique volontaire (attaque d'un hacker via un logiciel installant un virus informatique, logiciel de rançon, attaque par déni de service...).
Les conséquences de ces risques cyber peuvent être diverses pour une entreprise :
- des coûts de gestion immédiats de l'incident : frais de relations publiques pour gérer la crise, redirection vers un centre d'appel, recherche de cause, frais d'avocats... ;
- des frais liés aux conséquences financières directes subies par l'entreprise : frais de notification de violation de données personnelles, frais bancaires, frais nécessités par les enquêtes administratives, amendes administratives... ;
- des dommages directs subis tant immatériels (pertes d'exploitation, reconstitution des données...) que matériels (destruction de biens physiques de l'entreprise) ;
- une prise en charge de sa responsabilité civile : indemnisation des dommages à un tiers, frais de défense... ;
- des coûts spécifiques liés à une cyber-extorsion : recours à un consultant, éventuel paiement potentiel de la cyber-rançon...
La majorité des incidents de cybersécurité est associée à une cyberattaque, dont la fréquence a considérablement augmenté depuis 2019. D'après l'Association pour le management des risques et des assurances de l'entreprise (AMRAE), les accidents ne représentent que 5,5 % des sinistres en 2021 dans le secteur de l'assurance du risque cyber6(*). La plateforme cybermalveillance.gouv.fr, initialement chargée d'assister les victimes d'actes cyber malveillants, a d'ailleurs enregistré une augmentation de sa fréquentation de 155 % entre 2019 et 2020 et de 101 % entre 2020 et 20217(*).
La digitalisation croissante de l'économie a entraîné une multiplication accrue et complexifiée des cyberattaques. Les entreprises, quelle que soit leur taille, sont devenues des cibles potentielles voire privilégiées. Par exemple, le secteur de la défense, du fait de son caractère stratégique est particulièrement exposé. Pour les assureurs, cela signifie une prise de risque difficile à évaluer, entraînant une flambée des prix des contrats cyber, voire des refus de couverture. Cette réalité oblige les entreprises à renforcer leurs défenses numériques tout en faisant face à des conditions d'assurance de plus en plus exigeantes.
L'évolution du risque cyber
Cette analyse de l'évolution du risque par zone géographique et par secteur met en évidence l'augmentation constante des attaques depuis 2007. Les attaques se concentrent principalement sur les secteurs des services à la personne et de l'information et de la communication.
L'intelligence artificielle (IA) :
un
facteur supplémentaire de fragilisation face au risque cyber
L'émergence de l'intelligence artificielle (IA) s'accompagne d'un nouveau facteur d'incertitude, encore sous-estimé dans les politiques de gestion du risque. Si cette technologie représente une opportunité majeure pour la compétitivité des entreprises, elle constitue également une source croissante de vulnérabilités économiques, juridiques et assurantielles, encore peu encadrées.
Avec la diffusion à grande vitesse des solutions à base d'IA, les entreprises, toutes tailles confondues, sont confrontées à des risques de nature variée : décisions automatisées erronées, dépendance à des systèmes opaques, atteintes à la réputation par des contenus générés ou falsifiés, ou encore exfiltration de données confidentielles par des IA mal sécurisées. À ce titre, l'incident survenu en avril 2024 chez un opérateur logistique de taille intermédiaire, dont le système de gestion des stocks automatisé a généré une série d'erreurs massives d'approvisionnement à la suite d'une mise à jour défectueuse d'un modèle prédictif, a entraîné une perte estimée à 4,2 millions d'euros selon les chiffres communiqués à la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).
Le phénomène des « deepfakes », amplifié par la généralisation des IA génératives, commence également à produire des effets économiques mesurables. En février 2024, un dirigeant d'une PME industrielle de l'Eure a été piégé par une visioconférence falsifiée utilisant son apparence et sa voix synthétisées, ce qui a permis le détournement de plus de 520 000 euros par virement frauduleux. Le préjudice n'était pas couvert par l'assurance fraude de l'entreprise, le procédé utilisé n'étant pas encore explicitement inclus dans les clauses de garantie - illustrant ainsi le retard du droit assurantiel sur la sophistication des risques numériques.
Le coût moyen d'une cyberattaque, toutes causes confondues, dépasse désormais 95 000 euros pour une PME. Or, l'exploitation de l'IA par les cybercriminels permet de rendre ces attaques plus efficaces, plus difficiles à détecter, et potentiellement plus fréquentes.
À ce stade, ni le droit français ni les régimes assurantiels standards ne prévoient de mécanismes spécifiques de protection contre les usages déviants ou incontrôlés de l'IA. Le règlement européen (UE) 2024/1689 sur l'IA (dit « IA Act »), adopté en mai 2024 et applicable à compter de 2026, prévoit une classification des risques et impose des obligations renforcées pour les systèmes à haut risque, mais son articulation avec le droit des assurances reste embryonnaire. La place de l'assureur dans la chaîne de responsabilité en cas de sinistre lié à une IA mal configurée ou exploitée reste juridiquement incertaine.
Dans un tel contexte, la cartographie des risques à laquelle sont soumises les entreprises devrait désormais intégrer, à titre permanent, une composante technologique et algorithmique. Le défaut d'encadrement de l'IA, tant en matière de responsabilité que de couverture assurantielle, constitue aujourd'hui une lacune critique dans la protection du tissu économique, et plus particulièrement des entreprises intermédiaires et des PME, qui ne disposent pas toujours des ressources nécessaires pour auditer ou sécuriser leurs systèmes intelligents. Il en va de la prévisibilité juridique, de la continuité de l'activité, et in fine, de la soutenabilité de la couverture assurantielle face à ces risques émergents.
1 « Baromètre de la maturité cyber », AMRAE (édition 2024)
De plus en plus sophistiquées, les cyberattaques ont conduit les assureurs à revoir leurs grilles tarifaires. Jugées stratégiques, les entreprises de l'armement et de la défense sont particulièrement ciblées.
4. Les violences urbaines
Les épisodes de violences urbaines ou de conflits sociaux, comme ceux survenus en 2024, ont fortement impacté certains secteurs économiques, en particulier le commerce et la logistique. Pillages, dégradations de locaux ou incendies volontaires conduisent à une hausse notable des déclarations de sinistres, et la sécurité des biens professionnels est remise en question. De la petite épicerie de quartier aux grandes surfaces, en passant par les pharmacies, les agences bancaires ou les enseignes de téléphonie, aucun secteur n'est épargné.
Même si elles ne distinguent pas le coût à la charge stricto sensu des entreprises, les données de France Assureurs apportent un éclairage utile de l'ampleur du phénomène. Ainsi, du fait des événements violents l'année dernière, la sinistralité a progressé de 9 %, avec une charge en hausse de 64 % par rapport à la moyenne 2014-2022 pour les sinistres graves, et un coût exceptionnel de 945 millions d'euros en Nouvelle-Calédonie.
Le coût des violences urbaines
Source : France Assureurs
Déclenché à l'automne 2018
, le mouvement des « Gilets jaunes » a marqué un tournant dans les dégradations urbaines (mobilier urbain, notamment) et les exactions perpétrées contre des biens professionnels. À Paris comme dans de nombreuses métropoles et villes moyennes, les samedis de mobilisation ont été accompagnés de scènes de violence, de saccages de vitrines et de pillages. Sur la seule journée du 1er décembre 2018, les dommages matériels dans la capitale ont été estimés à plus de 3 millions d'euros, avec 249 commerces dégradés selon la Chambre de commerce et d'industrie (CCI) de Paris Île-de-France.
Depuis lors, ces violences ne se cantonnent plus aux grandes villes. Elles se généralisent à l'ensemble du territoire, affectant aussi bien les commerces de proximité que les grandes enseignes. Les tensions nées des manifestations contre la réforme des retraites en 2023, les émeutes survenues en juin 2023 après la mort de Nahel à Nanterre, ou encore les violences qui ont éclaté à l'issue de certains rassemblements festifs, sportifs ou culturels (matchs de football, concerts, célébrations locales), traduisent la montée en puissance d'une conflictualité sociale à géométrie variable. Ces violences ne sont plus réservées qu'aux zones urbaines denses : on relève désormais des actes de vandalisme dans des communes de taille intermédiaire, comme Lorient, Mâcon, Brive-la-Gaillarde... où des commerces de centre-ville ont été pillés lors des violences de juin-juillet 2023.
Cette dynamique touche également l'Outre-mer, avec une intensité particulièrement marquée.
En Nouvelle-Calédonie, les émeutes de mai 2024, consécutives aux tensions autour de la réforme du corps électoral, ont entraîné un saccage quasi systématique de l'appareil commercial local. Au total, ce sont plus de 450 entreprises qui ont été détruites ou sévèrement dégradées, selon la Fédération des entreprises de Nouvelle-Calédonie. En Martinique également, les troubles sociaux survenus à la fin de l'année 2021, dans le contexte de l'obligation vaccinale, avaient entraîné des dégradations et incendies de bâtiments publics et commerciaux dans les centres urbains de Fort-de-France et du Lamentin.
Les événements sportifs : entre dérives et dégâts
Les évènements sportifs sont désormais considérés par les professionnels du risque comme des vecteurs potentiels de sinistralité accrue. Ainsi, à l'issue de la finale de la Coupe de France 2022 de football, des échauffourées ont éclaté dans plusieurs villes (Nice, Lyon, Nantes), provoquant des scènes de vandalisme dans des quartiers commerçants pourtant éloignés des stades.
De manière préoccupante aussi, les incidents liés à la victoire du Maroc lors de la Coupe du Monde de football 2022 ont donné lieu à des affrontements violents à Montpellier, où un adolescent a trouvé la mort, mais aussi à des pillages dans les centres commerciaux en périphérie de villes moyennes comme Béziers ou Perpignan.
Plus récemment, la victoire du Paris Saint-Germain en Ligue des Champions en mai 2025 a également donné lieu à des débordements violents dans plusieurs grandes villes, notamment à Paris, Marseille, Rennes et Roubaix, avec des pillages ciblés de boutiques de sport et de téléphonie. Selon les données du ministère de l'Intérieur, plus de 300 interpellations ont été recensées sur l'ensemble du territoire et une cinquantaine de commerces ont déclaré des dommages matériels importants.
Face à cette multiplication des sinistres graves, les conditions de couverture deviennent plus restrictives. Les franchises sont relevées, les exclusions de garantie élargies, et certaines entreprises, notamment dans les zones sensibles ou après plusieurs déclarations, se voient refuser toute assurance multirisque professionnelle. Cette raréfaction de la couverture assurantielle vient fragiliser davantage un tissu économique déjà éprouvé, notamment dans les territoires ultramarins ou dans les quartiers prioritaires de la politique de la ville (QPV), où les capacités de rebond sont structurellement plus faibles.
* 4 Avril 2024.
* 5 Sénat, rapport d'information n° 678 (2020-2021).
* 6 « Lumière sur la Cyberassurance - 2e édition », AMRAE (juin 2022).
* 7 « Cybermalveillance », Rapport d'activité 2021.