Si l’on regarde la forte augmentation des cyberattaques en France, et leurs conséquences financières désastreuses, on ne peut qu’être surpris du relatif faible taux d'adoption de la cyberassurance par les chefs d’entreprises, plus particulièrement au sein des PME. CYBER COVER a fait son enquête et vous révèle les 3 fausses croyances qui freinent encore le développement de la cyber assurance en France.
La France enregistre un retard important par rapport au marché américain, et ce malgré une forte augmentation des souscriptions de contrat de cyberassurance depuis 2018. Le marché de l’assurance cyber présente un potentiel de croissance fort, puisqu’on estime à moins de 5 % la part de PME ayant souscrit un contrat d’assurance cyber spécifique quand près de 40 % des PME américaines sont assurées. Les entreprises n’ont visiblement pas encore complètement intégré que l’entrée en vigueur du RGPD avait pour conséquence immédiate de renchérir le coûts financiers consécutifs à une cyber attaque (déclaration à la CNIL, frais de notification, mise en cause de votre Responsabilité Civile, sanctions administratives éventuelles..).
Cybercriminalité en France au sein des PME : rappel des chiffres.
Le rythme des cyberattaques s'est accéléré à partir de 2017 et a progressé de près de 50 % en 2018. Contrairement aux idées reçues, les PME concentrent près de 80 % des cyber attaques, pour un nombre d’attaques estimé en France avoisinant les 50 000 !
Selon une récente étude Cisco étudiant les impacts d’une cyber attaque au sein des PME, 54 % des PME interrogées déclarent un coût de l’attaque pour leur entreprise > 500 k€ et pour 20 % d’entre elles, le coût dépasserait 1 M€ !
Aucun système d’information n’est à l’abri, les cybercriminels se renouvelant en permanence dans leur mode opératoire et s’adaptant aux nouvelles mesures de cyber sécurité déployées au sein des entreprises.
Les dirigeants d’entreprise doivent intégrer le fait que la cyber criminalité est un crime très profitable, peu sanctionné et peu risqué pour des cyber criminels répartis aux 4 coins de la planète, de fait difficiles à appréhender.
Les attaques de masse touchent un grand nombre de PME vulnérables, en exploitant sans distinction une faille identifiée dans leur système d’information (des robots scannent de manière aléatoire le web à la recherche de vulnérabilités). Retenons qu’il n’existe pas de sanctuaire, de lieu protégé des cyber criminels ; Aucune organisation, aucun prestataire ne peut garantir le risque zéro face à la cybercriminalité. Il convient à ce titre de veiller à limiter le risque cyber, de se préparer à une cyber attaque en renforçant la protection de nos systèmes d’information. La cyber assurance, par les services de gestion de crise offerts, par la prise en charge des conséquences financières d’une cyber intrusion est une réponse efficace face à la montée en puissance de la cyber criminalité.
Comment expliquer ce retard ?
Nous croyons qu'il subsiste en France des fausses croyances au sujet de la cyberassurance qui contribuent à expliquer pourquoi les PME hésitent encore à souscrire cette nouvelle génération de contrat d’assurance. Explications.
Mythe #1 : Nous n'avons pas besoin de cyber assurance car nous ne sommes pas la cible des cyberattaques
Les dirigeants des grandes entreprises et des ETI peuvent avoir un faux sentiment de sécurité parce qu'ils font appel à des consultants intelligents afin de mettre en place leur cyber sécurité, consacrent des ressources importantes afin de renforcer leur cyber protection, ou parce qu'ils croient à tort qu'ils sont à l’abri des cyberattaques en ayant transféré leur données dans le Cloud ou au sein d’un Data Center. Mais ce qu'ils oublient souvent de prendre en compte, c'est que les cybercriminels disposent également de ressources importantes, de personnes intelligentes, qui s'efforcent jour après jour de trouver une nouvelle faille dans l'armure d'une entreprise. De nouveaux virus, des malwares intelligents (logiciel malveillant) capables de passer sous les radars des antivirus naissent chaque jour, construits autour de vulnérabilités connus des cybercriminels.
Pendant ce temps, les petites et moyennes entreprises (PME) sont souvent dans l'hypothèse très erronée qu'elles sont trop petites pour être des cibles. Un sondage mené par Nationwide a révélé que la majorité des PME (57 %) n'ont pas d'employé ou de prestataire spécialisé pour surveiller les cyberattaques, pendant que 34 % d’entre elles ne croient pas qu'elles seront la cible d'une attaque.
Mais, en réalité, la moitié de toutes les PME françaises ont subi au moins une cyber attaque au cours des 3 dernières années, avec des conséquences financières importantes, liées à la gestion de la cyber crise, aux dommages subis (pertes d’exploitation, pertes de clients..) et aux dommages causés aux tiers… Avec l’entrée en vigueur du RGPD, l’impact financier en cas de violation des données personnelles va être augmenté (frais de notification, hausse des recours au titre de la RC, sanction administrative…).
Malgré ces graves conséquences financières, de nombreuses PME ne disposent pas du budget et des compétences internes nécessaires pour protéger leurs systèmes et réseaux contre les menaces potentielles. Selon le Ponemon Institute, seulement 14 % des PME ont jugé très efficace leur capacité à atténuer les risques, les vulnérabilités et les attaques informatiques.
Mythe #2 : Nous sommes déjà assurés contre les cyber risques par notre contrat d’assurance
Une autre raison majeure pour laquelle les PME ne s’intéressent pas suffisamment aux contrats de cyber assurance est qu'elles croient être déjà assurés contre les cyber risques par leurs contrats d’assurance traditionnels.
Malheureusement la plupart des contrats d’assurance Responsabilité Civile ne couvrent pas les cyber-risques ; Concrètement les dommages matériels, les blessures corporelles et les atteintes à l’image découlant de l'accès ou de la divulgation de données confidentielles ne sont pas couverts par les contrats d'assurance RC. De même les contrats d’assurance traditionnels ne vont pas couvrir les pertes d’exploitation résultant d’un dommage immatériel telle qu’une intrusion dans votre système d’information.
Nouvelles garanties apportées par les contrats de cyber assurance.
Face aux hackers qui menacent les entreprises, les compagnies d’assurance ont élaboré des contrats de cyber assurance, nouvelle génération de contrat d’assurance qui offrent les garanties suivantes :
« Gestion de crise »
Le contrat d’assurance cyber gère la gestion de la cyber crise en mettant à votre disposition des experts qui ont pour mission de vous accompagner dans la gestion de la crise. Leur priorité est de bloquer la cyber attaque et d’en limiter les conséquences.
« Réponse et responsabilité en cas d'atteinte à la protection des données personnelles »
Le contrat d’assurance cyber couvre les dépenses et la responsabilité légale qui découlent d'une atteinte à la protection des données personnelles (forensic, frais de notification RGPD, juridique, experts informatique)
« Dommages subis et causés par une attaque informatique »
Vous êtes couverts pour les dommages aux données et aux systèmes d’information causés par une attaque informatique, telle qu'une attaque de virus ou d'autres logiciels malveillants ou une attaque par déni de service (perte d’exploitation, frais d’experts informatiques, frais de restauration des données..)
« Assurance responsabilité civile »
Un contrat d’assurance cyber assure votre défense et votre responsabilité civile en cas de poursuites judiciaires intentées par des tiers alléguant des dommages causés du fait que l'assuré n'a pas protégé adéquatement son système informatique.
« Responsabilité médias »
Vous êtes couvert au titre des frais de défense et des dommages-intérêts en cas de réclamations pour violation de droit d'auteur et publication négligente, lors de la publication de contenu en ligne.
« Cyber extorsion »
Couvre les pertes découlant du transfert de fonds à la suite d’une cyber intrusion dans le système d’information sans intervention de tiers.
« Rançongiciel ou Ransomware »
Couvre le paiement d’une rançon suite au cryptage des données d'une entreprise par un Ransomware. Couvre également les frais liés à l’utilisation d'une entreprise spécialisée dans la négociation avec des cyber criminels dans ce type de situation.
Mythe #3 : un contrat de cyber assurance n'est pas abordable
Un autre mythe entourant la cyberassurance est qu'elle n'est pas abordable et que ces contrats coûtent trop chers ! Pourtant, les primes des contrats d’assurance cyber peuvent varier de quelques centaines d’euros par an pour la couverture des TPE (réalisant un CA < 500 k€ ) à moins de 2500 € / an pour une PME présentant une exposition aux risques moyenne, réalisant un CA compris entre 5 et 10 M€ (avec un montant de couverture de 1 M€).
En ce qui concerne les entreprises plus importantes, dans le cadre du processus d’analyse de risques, certains assureurs réalisent une évaluation approfondie de la sécurité informatique (cartographie des risques, test d’intrusion…). Cette évaluation est essentielle, difficile et nécessite une expertise et une solide expérience de la part du courtier ou de la compagnie d’assurance.
Différents secteurs d’activité représentent différents niveaux d'exposition. Par exemple, un petit dépanneur représente un risque relativement faible comparativement à un cabinet d’avocats ou d’experts comptables. En cas de sinistre les conséquences financières ne seront pas les mêmes.
Les risques liés à la cybersécurité peuvent sembler très intangibles, surtout si on les compare aux risques d'incendie, d'inondation et de blessures corporelles, mais des milliers d'entreprises ont déjà constaté que ces risques peuvent tout à coup devenir trop réels. Compte tenu du rythme des cyberattaques et de leurs répercussions financières, les entreprises de toutes tailles devraient penser à améliorer le niveau de cybersécurité et envisager sérieusement d'ajouter cette couverture assurance cyber pour protéger leurs opérations.
CYBER COVER en tant que spécialiste de l’assurance cyber se propose d’accompagner les PME dans cette démarche, en proposant un audit gratuit des pratiques internes en termes de gouvernance informatique. A l’issu de cet audit qui s’adresse au chef d’entreprise, l’entreprise reçoit une notation détaillée accompagnée de conseils personnalisés pour plus de cyber défense ; Des consultants accompagnent l’entreprise dans l’estimation de l’impact financier d’une cyber attaque et détermine le montant de garantie nécessaire pour le contrat de cyber assurance.
Fort de ces éléments, face aux risques cyber, le décideur peut facilement comprendre les bénéfices d’un contrat de cyber assurance, véritable moyen de transférer un risque important vers la compagnie d’assurance, gage de pérennité pour l’entreprise.
Vous souhaitez réaliser un audit de votre gouvernance interne ou obtenir un devis assurance cyber immédiat ? Rendez-vous sur nos plateformes de simulation.
