57402654_parapluie

Selon la vision que l’on a du sujet, 'seulement' ou 'déjà' 40 % des entreprises françaises sont intégralement couvertes contre les violations de sécurité et contre la perte de données.

La proportion des entreprises qui ont souscrit une assurance pour couvrir les cyber-risques, violation de sécurité et perte de données, est encore faible. Dans les pays occidentaux, elle varie de 51 % aux États-Unis à 26 % en Grande-Bretagne. Les entreprises françaises sont dans la moyenne avec 40 %.

Une pratique qui manque de pratique

Cette faiblesse a plusieurs origines. Bien que la menace est réelle, la démarche est encore récente. Si elle s’impose historiquement pour la responsabilité civile, elle n’est pas naturelle pour les cyber-risques. C’est ainsi que :

  • 40 % des entreprises françaises ont souscrit une assurance
  • 43 % affirment vouloir contracter une assurance
  • 12 % n’envisagent pas de couvrir ces risques

Quelles couvertures ?

Face aux menaces qui se multiplient et se précisent, les exécutifs ne se pressent pas pour couvrir les cyber-risques. Il faut reconnaître, à leur décharge, que l’information manque. Et les cyber-risques ne sont certainement pas pris avec le sérieux nécessaire.

Quant à ceux qui ont souscrit à une assurance, ils se révèlent assez mal informés sur la couverture que leur apporte leur contrat, qui selon eux portent sur :

  • 46 % - Frais de justice
  • 43 % - Sanctions réglementaires
  • 41 % -  Amendes des pouvoirs publics
  • 41 % -  Réparations
  • 25 % -  Manque à gagner et perte de propriété intellectuelle

La crainte de l’invalidation

Un assuré sur deux (47%) craint l’invalidation de sa couverture pour infraction à leurs obligations contractuelles. Ce qui démontre une nouvelle fois qu’ils ne sont pas ‘à l’aise’ avec les assurances souscrites. Cette crainte porte plus particulièrement sur :

  • 55 % - Non-respect des politiques internes de l’entreprise
  • 51 % - Absence de plan d’intervention sur incident
  • 47 % - Non-respect des obligations de conformité
  • 41 % - Sécurité physique insuffisante

Ce dernier point, l’invalidation, est important et vient souligner les difficultés que rencontrent les DSI et leurs entreprises en matière de cyber-assurance. C’est un sujet qui est peu accessible, et difficile à évaluer et donc à chiffrer. Il s’accompagne d’obligations de mise en place de solutions de cybersécurité dont les recouvrements avec les contrats sont à démontrer. C’est pourquoi les entreprises françaises, en particulier, se montrent plus sceptiques que leurs homologues. Et leurs expériences en matière de tests et d’audits ne vont pas les rassurer...

Source : Rapport « Risk:Value 2016 » par NTT Com Security Image d’entête 57402654 @ iStock Jorgenmac