Assurance des cyber risques où en sommes-nous ?

Etat des lieux quant aux cybermenaces

Les cybermenaces de plus en plus nombreuses et complexes s’avèrent toujours plus efficaces pour rançonner les entreprises et les organisations en général.

Les motivations des attaquants sont multiples. Les cyberattaques peuvent être catégorisées selon leurs finalités : la recherche de gains financiers, l’espionnage et la déstabilisation.

Les attaques les plus fréquentes de type rançongiciel (ou ransomware) ciblent tous types d’organisations, y compris les acteurs publics et les services gouvernementaux.

Très répandus, les rançongiciels sont des logiciels malveillants qui chiffrent l’ensemble des données, outils et applications de la victime. Pour les récupérer, cette dernière se voit demander le paiement d’une rançon en échange de la clé de déchiffrement. Les cybercriminels exfiltrent parfois les données internes de leur cible avant l’attaque, afin d’augmenter leur pression en menaçant de les publier.

Avec la généralisation du télétravail, l’ouverture rapide et forcée des systèmes d’information, les cybermenaces ont fortement augmenté en France et dans le monde.

Selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information), de 2020 à 2022, 69% des cyberattaques visaient des entreprises, 20% des collectivités territoriales, 11% des établissements de santé.

Les petites et moyennes entreprises sont souvent plus vulnérables que les grandes entreprises, qui possèdent davantage de ressources pour protéger leur système d’information et leurs données personnelles. Les petites entreprises sont de plus en plus visées par des attaques de ransomware.

Le coût financier moyen pour une PME d’une cyberattaque est estimé entre 300.000€ et 500.000€.

Ces chiffres varient en fonction de la zone géographique, de la taille de l’entreprise, du secteur d’activité, de la capacité à redémarrer rapidement son activité, des fuites de données éventuelles et leurs conséquences.

Les cyberattaques les plus dangereuses auxquelles sont aujourd’hui exposées les entreprises exploitent le facteur humain. 70% des problèmes de sécurité impliquent directement les employés.

Dans 90% des cas, les cyberattaques commencent par l’ouverture d’un courriel. 2 scénarios principaux sont possibles : soit les personnes sont manipulées par phishing et communiquent des informations sensibles aux pirates, soit elles ouvrent une pièce jointe infectée qui installe un «cheval de Troie» sur leur système.

L’Assurance Cyber ou en sommes-nous ?

Malgré la croissance du numérique au sein des entreprises françaises, l’assurance cyber peine à pénétrer le marché des PME et des TPE.

Le rapport Lucy 2023 de l’association des risk managers français (AMRAE) révèle que seuls 3,2% des entreprises de taille moyenne ont opté pour cette assurance. 

Le marché de l’assurance cyber est un marché émergent. Malgré l’essor du digital au sein des entreprises françaises, l’assurance cyber peine à s’imposer au sein des PME et TPE.

Si 94% des grandes entreprises sont assurées en cyber, selon le rapport Lucy 2023 publié par l’association des risk managers français, seuls 3,2% des entreprises de taille moyenne sont couvertes. Un chiffre qui tombe à 0,2% pour les petites entreprises (entre 2 et 10 millions d’euros de chiffre d’affaires) et les micro-entreprises (réalisant moins de 2 millions d’euros de chiffre d’affaires).

Face à une menace toujours plus importante, les commerçants, boulangers, hôteliers, garagistes ne se sentent pas forcément concernés. La complexité de la souscription d’un contrat d’assurance cyber constitue également un autre frein majeur.

Selon l’étude statistique sur l’assurance des dommages aux biens des professionnels présentée par France Assureurs, plus de 95% du marché total de l’assurance cyber sont portés par les courtiers. Cependant, ce marché de l’assurance cyber se heurte au fait que les intermédiaires d’assurance non spécialistes ont souvent du mal à maîtriser le produit, c’est pourquoi ils ne sont pas proactifs quand il s’agit de le vendre.

Quant aux PME et TPE, elles font face à la complexité d’un produit d’assurance avec des questionnaires cyber très longs et fastidieux à remplir, souvent suivies d’un audit cyber complet, le tout pouvant prendre plusieurs mois de travail.

Ce travail préalable permet à l’assureur d’évaluer l’éligibilité d’une entreprise à son produit d’assurance. Selon Grégory Allard, président de la société de courtage Filhet Allard & Cie, environ une demande de souscription sur deux est refusée par les assureurs.

Le marché de l’assurance cyber reste embryonnaire. Le cadre réglementaire reste à construire pour offrir une orientation claire aux assureurs et aux assurés, mais aussi renforcer la confiance dans la création de produits d’assurance cyber.

Quelle couverture des risques cyber ?

Un contrat d’assurance cyber possède le plus souvent 2 volets de garantie :

• • Assurance en cas d’atteinte au système d’information (cyberattaque, cyberintrusion),
  • Assurance contre une atteinte aux données personnelles (diffusion de données personnelles même accidentelle), risque financier important, notamment avec l’entrée en application du RGPD (assurance RGPD).

Désormais, les organismes assureurs ne se contentent plus de déclarations de bonne foi des entreprises. Celles-ci doivent s’équiper de solutions afin de cartographier et quantifier le risque d’origine cyber. Celles qui ne le feront pas risqueront d’être confrontées à une fin de non-recevoir pour leur demande d’assurance cyber.

 

Pour en savoir plus, notre programme de formation : L’assurance Cyber