Face à la cybermenace, les offres en cyberassurance ne correspondent pas à la réalité subie, notamment par les PME. Les entreprises auraient intérêt à renforcer leur cybersécurité et à s'équiper de systèmes bloquant les attaques hors du réseau. De quoi concilier montant des primes d'assurance et niveau de couverture des risques.
Alors que les cyberattaques frappent quotidiennement les entreprises, quelle que soit leur taille, les regards sont tournés vers les assureurs. En effet, en cas d’attaque, les dommages financiers peuvent s’avérer dévastateurs pour une entreprise, et c’est sans compter sur les ransomwares qui extorquent une somme en échange du décryptage délictueux des données. En France, le débat fait rage autour des cyberassurances, et sur la nature des coûts à couvrir. Pourtant, il pourrait bien exister des moyens plus flexibles et abordables de s’assurer.
Des entreprises mal protégées
Une chose est sûre : les assurances et les cyberattaques sont devenues un duo indissociable. Il faut dire que les entreprises représentent des victimes de choix pour les cyberpirates. « La plupart des entreprises, quels que soient leur taille et leur secteur, ne sont pas correctement préparées à une cyberattaque. Et ce, bien que les conséquences et les coûts puissent être élevés » déplore Arnaud Le Hung, responsable de comptes senior chez BlackBerry.
Les PME sont les moins couvertes
Et pourtant, le marché de la cyberassurance n’est pas encore adapté. En témoigne une étude réalisée en 2022 par l’Association pour le management des risques et des assurances de l’entreprise (AMRAE) dévoile que les PME représentent les premières victimes avec 60 % de fermeture dans les six mois suivant une cyberattaque. Pourtant, en France, 82 % du marché de la cyberassurance concernent les grandes entreprises, 13 % des ETI. PME et TPE se partageant les 5 % restants.
Des primes d’assurance trop onéreuses
« Ce même rapport explique que la raison invoquée par ces petites entreprises pour la non-souscription serait le coût des primes d’assurance trop élevé. En effet, lors de l’évaluation du risque par rapport au coût de la couverture, près d’un tiers des entreprises ont choisi de prendre le risque », révèle l’expert.
Un débat sur la couverture des ransomwares
Si le gouvernement souhaite encourager une assurance pour le paiement de rançongiciels, certains assureurs revoient leurs provisions de couverture, et pas dans le sens souhaité. « L’année dernière, l’assureur AXA France a annoncé qu’il ne couvrirait plus le coût des paiements de rançongiciels (ransomwares). Résultat : il y a un manque d’unité sur le marché de l’assurance pour les cyber-risques, qui rend le sujet complexe et inaudible pour les entreprises confrontées à un risque réel. .
Une approche basée sur la prévention
Pour y remédier, Arnaud Le Hung plaide pour un équilibrage entre le risque perçu pour les entreprises avec les coûts facturés, via une approche de la cybersécurité axée sur la prévention. Plutôt que d’adopter une méthode basée sur la détection des menaces connues, l’expert préfère une approche de type prevention-first. Il s’agit de bloquer les cyberattaques aux portes du réseau, en utilisant des modèles d’intelligence artificielle (IA) basés sur le Machine Learning. Ce qui permet d’identifier une menace avant qu’elle ne soit exécutée.
Modérer la hausse des primes
En complément, il existe des assistances de soutien dédiées aux PME avec des ressources spécialisées en sécurité via un abonnement mensuel. « La prévention des failles ouvrirait la voie à un effet modérateur sur la hausse des primes d’assurance cybersécurité plus efficacement et sur le long terme », estime Arnaud Le Hung. De quoi rassurer les assureurs tout en les encourageant à développer des offres plus abordables.
Ségolène Kahn
Commentez