L’essor des cyber-assurances pour les PME en France
Les petites et moyennes entreprises (PME) françaises sont fréquemment ciblées par des attaques malveillantes. S’il est difficile d’estimer l’ampleur de ce phénomène, les sources disponibles estiment que 40 à 80% d’entre elles auraient été victimes ces dernières années d’une ou de plusieurs tentatives d’attaques informatiques : vol de données, usurpation d’identité, piratage informatique, déni de service…
Nombreuses et moins sensibilisées aux risques numériques que les grandes entreprises, qui disposent généralement d’une protection renforcée et d’une direction de la sécurité dédiée, les PME sont vulnérables. Outre les dommages financiers, ces attaques peuvent être paralysantes et porter atteinte à la continuité de l’activité par le blocage des données sur une longue durée, comme les « ransomware ».
Un intérêt croissant des entreprises pour les cyber-assurances
Partant de ce constat d’insécurité et alors que le risque cyber fait partie des sources croissantes d’inquiétude pour les entreprises, la plupart des compagnies d’assurance proposent désormais des contrats d’assurance cyber destinés aux entreprises. Selon le troisième baromètre du CESIN, le Club des Experts de l’Information et du Numérique, la souscription de cyber-assurances aurait bondi chez les entreprises au cours de deux dernières années. Il suffit de quelques clics sur le web pour se rendre compte de la recrudescence des assurances cyber. Alors qu’aux Etats-Unis, il s’agit déjà d’un marché structuré de près de 3 milliards de dollars, il est en France encore en plein essor.
Or, seules 40 % des entreprises disposeraient d’une assurance spécifique contre les cyberattaques, et ce chiffre est plus bas au sein des petites entreprises. Seules 14% se seraient prémunies des risques numériques par ce biais. Cet intérêt croissant pour les contrats d’assurance cyber peut s’expliquer par une médiatisation récente des attaques cyber sur les entreprises, mais également par les obligations nouvelles auxquelles elles sont soumises, comme le RGPD (Règlement Européen de Protection des Données) depuis 2018.
Ces contrats d’assurance sont pourtant conçus pour concerner toutes les entreprises, même les TPE, dès le premier salarié. Ainsi, quelle que soit la taille de l’entreprise et le secteur d’activité concerné, il peut être envisagé de s’assurer contre des dommages potentiels, surtout si la continuité de l’activité dépend de l’outil informatique. Différents acteurs sur un marché en plein essor Parmi les acteurs de ce nouveau marché, on trouve en premier lieu les assureurs traditionnels et bien connus du grand public (Axa, Matmut, Groupama…). Certaines de ces compagnies intègrent les offres cyber à leur expertise initiale, tandis que d’autres ont fait le choix de s’associer avec des compagnies spécialisées dans la cybersécurité. Dans ce cas, elles délèguent alors généralement les volets techniques ainsi que la prévention contre les risques numériques, notamment par le biais de modules de e-learning.
Les contrats d’assurance cyber se distinguent d’un contrat multirisques professionnel ou d’un contrat « tous risques informatiques ». En effet, ils prennent en compte non seulement les risques matériels, comme l’intégrité du parc informatique de la société en cas de sinistre, mais également les risques immatériels, comme la perte de données ainsi que les conséquences financières liées aux actes malveillants, aux fraudes, ou simplement aux erreurs humaines.
On trouve également de nouveaux acteurs spécialisés exclusivement sur l’assurance en cybersécurité. Ces derniers proposent des services à la croisée du conseil et de l’assurance tout en mettant en avant leur expertise et leurs retours d’expériences sur ces sujets. Ils proposent en effet, en plus de l’offre d’assurance, des analyses de risques, des diagnostics de sécurité informatique de l’entreprise ainsi que des audits.
Des prestations étendues à l’ensemble des risques numériques
Quelles que soient les compagnies concernées, ce qui transparait dans ces nouveaux types de contrats est l’importance des prestations annexes à l’assurance seule. Ainsi, outre le volet « prévention et sensibilisation » qui est présent dans la quasi-totalité des contrats, on trouve également des partenariats avec des cabinets d’avocats ainsi que des agences de communication de crise afin de minimiser le sinistre et d’atténuer les répercussions en matière de réputation en cas d’attaques. L’offre ne s’arrête donc plus à l’expertise et au remboursement en cas de sinistre et se concentre de plus en plus sur le préjudice immatériel subi.
Ces contrats associent également, pour la plupart, leur assurance cybersécurité avec une « assurance RGPD » afin de couvrir les sanctions qui pourraient être subies par les entreprises en cas de non-conformité. Le règlement européen oblige les entreprises à veiller à ce que les données personnelles stockées dans leur système soient à tout moment et en tout lieu sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission. La CNIL peut en effet sanctionner une entreprise d’une amende allant jusqu’à 4% de son chiffre d’affaires, ou 20 millions d’euros, en cas de non-respect du règlement. Il existe également des extensions à ces contrats afin de se prémunir contre l’ingénierie sociale et la fraude.
Enfin, si le marché de l’assurance en cybersécurité est en plein essor en France, on peut souligner certaines limites de son assurabilité. La relative nouveauté de ce type d’incident n’a en effet pas encore permis leur standardisation. Ainsi, il est parfois complexe pour l’assureur d’évaluer précisément le sinistre, notamment en prenant en compte le préjudice immatériel. De plus, les entreprises sont souvent réticentes à l’idée de rapporter les incidents à un tiers, de peur de mettre en péril leur réputation.