igor - Fotolia
La cyberassurance doit encore se démocratiser
Si les grands groupes, notamment dans le secteur financier, peuvent être bien dotés en assurance contre les risques dits « cyber », cela semble encore loin d’être le cas des entreprises de tailles plus modestes.
Fin avril, une étude NTT Com Security avait fait tiquer plus d’un observateur. Dans son rapport Risk:Value 2016, le fournisseur de services de sécurité informatique affirmait ainsi que 40 % des entreprises en France étaient « intégralement couvertes contre les violations de sécurité et la perte de données ». Et d’assurer également qu’un « peu plus du tiers des entreprises hexagonales ont contracté une police de cyberassurance dédiée ». Pour établir ces chiffres à la demande de NTT Com Security, Vanson Bourne avait interrogé 1000 décideurs hors fonction IT aux Etats-Unis et en Europe, dont en France.
Parmi d’autres, Astrid-Marie Pirson, experte cybersécurité chez Hiscox, n’a pas manqué d’être laissée relativement perplexe par ces résultats. Dans un entretien téléphonique avec la rédaction, elle relève plusieurs éléments qui l’invitent à « relativiser ». et cela commence par l’échantillon, concentré sur les « structures de plus de 500 salariés » évoluant « majoritairement (32 %) dans les secteurs des services financiers, de la banque et de l’assurance ».
Et ceux-ci, relève Astrid-Marie Pirson, « présentent des risques et des contraintes réglementaires particuliers » susceptible de pousser à une sensibilisation plus grande à l’intérêt de la cyberassurance. En outre, les entreprises de plus de 500 salariés « sont loin de représenter la réalité du tissu entrepreneurial en France. Sur les PME plus petites et encore plus les TPE, on est très loin d’un taux d’équipement de cet ordre-là ».
Encore faut-il comprendre la question…
Surtout, Astrid-Marie Pirson s’interroge sur la capacité des sondés à véritablement répondre à un tel sondage : « beaucoup parlent de cyberassurance sans vraiment se donner la peine de définir de quoi il s’agit. Ce qui peut être source de confusion […] Je pense que certains sondés sont susceptibles de répondre à ce genre de sondage sans avoir une réelle idée précise de ce que recouvre la cyberassurance ». Et justement, si les contrats ne manquent pas de points communs, notamment en matière d’exclusions, ils n’en sont pas pour autant tous similaires.
A la marge, on relèvera que Vanson Bourne ne s’est pas concentré, pour son étude, sur des spécialistes de la gestion du risque. Finances, directions métiers, stratégie, mais aussi ingénierie, ressources humaines, marketing et communication sont autant de fonctions représentées dans l’échantillon.
Las, la connaissance de sa réelle couverture assurantielle n’a d’ailleurs rien de trivial. Astrid-Marie Pirson relève là que nombreuses sont les personnes qui ne se penchent vraiment sur leur contrat d’assurance, dans le détail, que lorsqu’elles pensent pouvoir solliciter leur assureur lorsqu’est survenu un sinistre. Mais pas forcément avant.
Et pour ceux qui voudraient le faire, l’exercice n’a rien de trivial : « comprendre son portefeuille d’assurances n’est pas simple. Des courtiers proposent aujourd’hui ce genre d’audit assurantiel pour identifier les trous de couverture ». Un vrai métier, donc, de spécialiste.
Et voir l’intérêt de la cyberassurance
Et si certains peuvent s’inquiéter des éventuelles redondances entre contrats, les courtiers ne l’appréhendent pas forcément sous cet angle : « c’est parfois justement recherché », ne serait-ce que pour optimiser la protection entre différents packages. Les grandes entreprises, relève Astrid-Marie Pirson, n’achètent d’ailleurs forcément leurs assurances au détail, mais plutôt sous la forme de « programmes complets ».
Le cas des TPE et des PME ne manque pas non plus de spécificités. Des produits existent déjà pour elles. Mais encore faut-il avoir conscience du besoin. Evoquer avec ces structures des incidents tels que celui dont a été victime l’an passé TV5 Monde, ou encore Target avant, n’est pas forcément très parlant, constate Astrid-Marie Pirson. Des menaces telles que les rançongiciels sont en revanche plus aisément appréhendées : « cela touche tout le monde, et cela peut conduire à la perte d’une entreprise ». Pour elle, dans une petite entreprise, un incident de cybersécurité « peut être un vrai traumatisme ».
Alors, bien sûr, « pour beaucoup, les entreprises qui viennent nous voir ont déjà été victimes d’un incident et savent quel coût cela représente. Elles ne veulent pas avoir à l’assumer encore ». Mais les mentalités changent, estime-t-elle : « il y a trois ans, la cybersécurité n’était pas un sujet. Mais aujourd’hui, dans les entreprises, on se sent concerné par le sujet, au moins d’un point de vue technique, mais aussi managérial ».