Le 30 janvier, le Cercle Lab organisait une conférence sur le marché de la cyber-assurance, au cours de laquelle différents intervenants on présenté leur vision du marché des TPE / PME :

– Laurence Al Neimi, Senior Manager du cabinet Wavestone

– Isabelle Landreau, Avocate au Cabinet d’Avocats Landreau

– Marie-Eve Michelon, BEAZLEY

– Olivier Blandin, ACCRMA

Même s’il reste encore peu mature par rapport à ses homologues anglo-saxons, le marché de la cyber-assurance est pressenti à connaitre un pic de croissance grâce aux évolutions du cadre réglementaire appliqué aux entreprises.

Si aujourd’hui la plupart des grandes entreprises type CAC 40 et ETI, conscientes de leur grande exposition aux risques du numérique et de l’approche de la date de mise en vigueur du GDPR, sont assurées pour leurs risques cyber, la maturité des marchés des TPE/ PME n’est pas encore constatée.

L’évolution des cyber-attaques

D’après le baromètre de la cybersécurité réalisé et publié par le CESIN en janvier 2018, le nombre d’entreprises touchées par des cyber-attaques au cours des 12 derniers moins atteint près de 80%. Cela signifie qu’en France, sur la période de 2015 à 2017, le nombre de cyber-attaques recensées a été multiplié par trois. Ces cyber-attaques peuvent être séparés en 3 groupes distincts :

– Le sabotage : diffusion de virus

Ex : En 2017, la PME Clermont Pièces a été placée en liquidation judiciaire suite au cryptage de l’ensemble de ses fichiers clients et fournisseurs et à son incapacité à payer la rançon exigée.

– L’espionnage : cyber-espionnage concurrentiel, cyber-espionnage entre Etats

Ex : En 2016, l’industriel allemand ThyssenKrupp a été victime d’une cyberattaque visant à dérober des secrets industriels.

– La criminalité / piraterie : vol de données, usurpation d’identité, prise de contrôle de système

Ex : En 2017, Uber a reconnu avoir fait l’objet d’une cyberattaque de grande ampleur ayant abouti au vol des données personnelles de 57 millions de ses utilisateurs.

La croissance de la cybercriminalité peut être expliquée par plusieurs raisons :

– L’importance des gains pour les pirates

– La faiblesse des risques encourus en particulier liée au caractère international des cyberattaques

– La simplicité d’accès (sur le Darknet) à l’expertise nécessaire

– L’augmentation du nombre de cibles potentielles liée au développement du numérique

L’immaturité des marchés des TPE/PME : raisons et conséquences

Deux principales raisons justifient l’immaturité des marchés des TPE/ PME face à la cybercriminalité. Il s’agit tout d’abord d’un faible sentiment d’exposition de la part de ces structures compte tenu des enjeux et de la concurrence industriels mais aussi d’un budget alloué à la cybersécurité fortement restreint. En effet, le montant annuel moyen accordé par plus de 50% des PME françaises pour leur sécurité informatique est inférieur à 50€ par employé.

Pourtant les sanctions encourues en cas de non-respect des obligations établies par le GDPR, à savoir :

– La notification des violations des données personnelles ;

– Le consentement au traitement des données doit être libre, spécifiques, éclairé et univoque ;

– Un registre détaillé des traitements des données personnelles doit être conservé à la fois par les responsables de traitement et les sous-traitants et doit pouvoir être mis à la disposition des autorités de contrôle sont majeures.

sont majeures puisque l’amende pourrait varier entre 20M€ et 4% du chiffre d’affaires mondial de l’entreprise.

Les offres de cyber-assurance disponibles

Les compagnies d’assurance éprouvent de grandes difficultés à tarifer les risques relatifs aux cyber-attaques visant les TPE/ PME. En effet, elles manquent d’informations historiques et ne peuvent pas prévoir les défaillances humaines et individuelles. Par ailleurs, certaines pertes sont considérées comme irréparables et il est difficile de couvrir les dommages immatériels. Pourtant, chacune tente de développer de nouvelles offres autour de 3 volets :

– Assurance : remboursement des sinistres

Ex : frais de gestion d’attaque, prise en charge des pertes liées au chiffre d’affaire, à la réputation de l’entreprise, au matériel, aux données (…) et des frais de rétablissement, responsabilité civile (dommage aux tiers), frais de notification (clients et régulateur)…

– Prévention : réduction de la sinistralité

Ex : Sensibilisation des employés, réalisation d’audit de sécurité, notification en cas de menaces imminentes…

– Accompagnement : services proposés pour aider à gérer une attaque

Ex : intervention d’experts en cas de crise pour contenir l’attaque et réparer les dégâts, veille Darknet, veille réputation…

On peut citer l’exemple de l’offre proposée depuis avril 2017 par le Groupe Generali en association avec Engie Ineo et Europ Assistance. Dédiée aux TPE/ PME, cette offre baptisée « Protection Numérique » est constituée de 3 parties :  Generali assure la partie indemnisation (pertes d’exploitation, dommages matériels…) et la responsabilité civile vis-à-vis de tiers, Europ Assistance prend en charge la gestion du dossier en se positionnant comme interlocuteur principal de l’assuré et Engie Ineo est responsable de la réparation et de la sécurisation du système touché.

Vers un nouveau modèle d’assurance ?

En réponse au nombre croissant de cyber-attaques recensées et à l’efficacité relative des offres proposées par certaines compagnies d’assurance, un nouveau modèle d’assurance est à envisager.

En cohérence avec les autres domaines de l’assurance, la cyber assurance doit aller au-delà du remboursement des sinistres pour proposer des services aux entreprises allant de la prévention, pour limiter les risques et l’impact des attaques, à l’accompagnement pour aider les entreprises à gérer les attaques qui parviennent à s’infiltrer.