Effectuée par le cabinet Vanson Bourne, sur un échantillon de 1.000 décideurs aux États-Unis et en Europe, cette étude illustre le caractère contradictoire des entreprises face aux contrats de cyberassurance, et plus particulièrement en France : si les entreprises admettent la nécessité d’une assurance contre les violations de données numériques, toutes n’en contractent pas pour autant. Ainsi, chez nous, elles ne seraient que 40% à être intégralement couvertes. De même, seuls 39% affirment que leur entreprise a souscrit un contrat de cyberassurance dédié tandis que 61% déclarent n’avoir aucun contrat de ce type. Des effectifs peu concluants comparé aux statistiques mondiales : seules 12% ne bénéficieraient d’aucune assurance et avanceraient donc à découvert. Reste qu’à peine plus de la moitié des entreprises mondiales (52 %) possèdent une police tout-risque de sécurité informatique alors que 49% d’entre elles ont mis en place un plan de reprise d’activité (PRA).
C’est aux États-Unis que l’on trouve le plus d’assurés – 51% des entreprises contre 26 % au Royaume-Uni. Par ailleurs, les secteurs les plus réceptifs aux polices de cyberassurance dédiées sont la grande distribution (43 %), les prestataires de services B2B (43%) et les entreprises d’utilité publique (39%). Pour autant les cyberassurances font de plus en plus d’adeptes du fait qu’elles incluent désormais des garanties supplémentaires contre les violations de données/confidentialité ainsi que des couvertures en responsabilité civile en cas d’extorsion ou de compromission de la sécurité réseau.
Cependant, si 43% des entreprises sont en passe de contracter une telle police ou envisagent de le faire, seules 35% d’entre elles voient la nécessité d’y souscrire. « Face aux risques qui les menacent chaque jour, les entreprises recherchent des solutions de rafistolage au lieu de consolider leur dispositif de sécurité et de gestion du risque, déplore Garry Sidaway, vice-président de NTT Com Security. La sécurité doit faire partie intégrante de la culture d’entreprise et être relayée à chaque échelon de la pyramide. Elle doit être défendue par le PDG, conçue et appliquée par le responsable de la sécurité des systèmes d’information (RSSI), puis communiquée de manière à responsabiliser chaque salarié sur les bonnes pratiques à adopter. »
Autre fait important, les interrogés éprouvent un certain scepticisme concernant les garanties de leurs assurances : parmi les décideurs d’organisations assurées contre les violations et les pertes de données, 46% seulement estiment que leurs frais de justice seront couverts. Ils sont encore moins nombreux à penser être assurés contre des sanctions réglementaires (43%), des amendes des pouvoirs publics (41%) et des réparations (41%). Quant aux risques de manque à gagner et de perte de propriété intellectuelle, ils ne sont couverts que pour 25% des entreprises sondées.
En ce qui concerne la validité même du contrat, la méfiance règne. Ainsi, la moitié des personnes interrogées craignent que leur couverture ne soit invalidée pour le non-respect de certaines obligations de sécurité. Pour 46% d’entre elles, ce sont les politiques internes qui pourraient être la cause d’une invalidation tandis que pour 43% ce serait plutôt le manque de plan d’intervention sur incident. Côté français, ce sentiment se confirme : 47% des participants pensent que toute infraction à leurs obligations de conformité risquerait de faire sauter leur couverture. Autant dire que les entreprises ont l’impression de marcher sur des œufs…
« Au lieu de tout miser sur l’assurance, les entreprises devraient aborder le problème différemment. Si l’assurance est essentielle, il faut en effet aussi démontrer que des dispositifs de réduction des risques sont en place, tout en sachant exactement ce qu’ils recouvrent. C’est la seule façon de savoir ce qui est couvert par le contrat. Il faut aussi pouvoir démontrer que ces dispositifs sont régulièrement testés et audités. Les assureurs veulent savoir ce qu’ils assurent et connaître les mesures de réduction des risques mises en place. C’est la seule façon d’obtenir un contrat », rétorque le vice-président de NTT Com Security.
Quoi qu’il en soit, l’avenir du marché de la cyberassurance ne semble pas en souffrir pour autant : avec 2,5 milliards de dollars en 2015, on estime que le montant des primes brutes émises grimpera à 7,5 milliards de dollars à l’horizon 2020, selon le rapport de PwC intitulé “Insurance 2020 & beyond: Reaping the dividends of cyber resilience”.
Ségolène Kahn
Commentez