Selon la vision que l’on a du sujet, 'seulement' ou 'déjà' 40 % des entreprises françaises sont intégralement couvertes contre les violations de sécurité et contre la perte de données.
La proportion des entreprises qui ont souscrit une assurance pour couvrir les cyber-risques, violation de sécurité et perte de données, est encore faible. Dans les pays occidentaux, elle varie de 51 % aux États-Unis à 26 % en Grande-Bretagne. Les entreprises françaises sont dans la moyenne avec 40 %.
Une pratique qui manque de pratique
Cette faiblesse a plusieurs origines. Bien que la menace est réelle, la démarche est encore récente. Si elle s’impose historiquement pour la responsabilité civile, elle n’est pas naturelle pour les cyber-risques. C’est ainsi que :
- 40 % des entreprises françaises ont souscrit une assurance
- 43 % affirment vouloir contracter une assurance
- 12 % n’envisagent pas de couvrir ces risques
Quelles couvertures ?
Face aux menaces qui se multiplient et se précisent, les exécutifs ne se pressent pas pour couvrir les cyber-risques. Il faut reconnaître, à leur décharge, que l’information manque. Et les cyber-risques ne sont certainement pas pris avec le sérieux nécessaire.
Quant à ceux qui ont souscrit à une assurance, ils se révèlent assez mal informés sur la couverture que leur apporte leur contrat, qui selon eux portent sur :
- 46 % - Frais de justice
- 43 % - Sanctions réglementaires
- 41 % - Amendes des pouvoirs publics
- 41 % - Réparations
- 25 % - Manque à gagner et perte de propriété intellectuelle
La crainte de l’invalidation
Un assuré sur deux (47%) craint l’invalidation de sa couverture pour infraction à leurs obligations contractuelles. Ce qui démontre une nouvelle fois qu’ils ne sont pas ‘à l’aise’ avec les assurances souscrites. Cette crainte porte plus particulièrement sur :
- 55 % - Non-respect des politiques internes de l’entreprise
- 51 % - Absence de plan d’intervention sur incident
- 47 % - Non-respect des obligations de conformité
- 41 % - Sécurité physique insuffisante
Ce dernier point, l’invalidation, est important et vient souligner les difficultés que rencontrent les DSI et leurs entreprises en matière de cyber-assurance. C’est un sujet qui est peu accessible, et difficile à évaluer et donc à chiffrer. Il s’accompagne d’obligations de mise en place de solutions de cybersécurité dont les recouvrements avec les contrats sont à démontrer. C’est pourquoi les entreprises françaises, en particulier, se montrent plus sceptiques que leurs homologues. Et leurs expériences en matière de tests et d’audits ne vont pas les rassurer...
Source : Rapport « Risk:Value 2016 » par NTT Com Security Image d’entête 57402654 @ iStock Jorgenmac