Si les entreprises sont plus sensibilisées au risque cyber et investissent de plus en plus dans leur protection, les pertes ne cessent d’augmenter et le recours à la cyber assurance est plus recommandé que jamais. Mais quelle est l’offre proposée aux petites et aux moyennes entreprises ? et quelle en est leur réception ? Voici un état des lieux des couvertures proposées sur le marché cyber aux TPE/PME.
Seulement 17% des TPE/PME sont assurées
On constate chaque année que les pertes liées aux cyber-incidents augmentent, pour un coût médian de 50 000 euros, les pertes totales étant en 2020 de 1,6 milliard d’euros contre 1,1 milliard en 2019. Au total, la Fédération française de l’assurance (FFA) estimait à 80 millions le nombre de primes d’assurance cyber sur le marché français en 2018, puis à 105 millions en 2019. Mais celles-ci ne se répartissent pas équitablement puisque si 80 % des entreprises du CAC 40 ont souscrit une cyberassurance, seulement 17% des TPE-PME sont assurées, selon le gouvernement.
Les 3 enjeux des assureurs pour convaincre les TPE/PME
Devant la réticence des plus petites entreprises, les assureurs doivent s’adapter et mieux travailler leur offre pour les TPE/PME. L’enjeu est d’arriver à faire preuve de flexibilité, de clarté et de ne pas perdre les entreprises à la souscription…
- Flexibilité : L’idée est de ne pas plaquer une série d’offres mais de s’adapter le plus possible aux besoins et à la complexité des entreprises de plus petite taille. Ouvrir le champ des possibles est souvent payant et certains assureurs ont même créé des partenariats avec des start-up en se basant sur le principe de mutualisation du risque. Les sinistres s’intensifiant, il faut donc pour se protéger, offrir des solutions à l’ensemble de l’écosystème.
- Clarté : Le besoin de conseil étant très élevé, il faut davantage axer sur la pédagogie. Le cyber n’est pas encore une couverture obligatoire aux yeux des TPE/PME, il est donc nécessaire d’accentuer la transparence de la couverture proposée. Le sujet le plus important consiste à dissiper l’amalgame entre ce que couvre une assurance cyber et une assurance de responsabilité civile. Il faut bien montrer que l’une ne remplace pas l'autre, et que le nerf de la guerre, en matière cyber, réside dans la capacité à prendre la problématique en charge dans les 4 heures maximum, afin d’éviter des pertes trop lourdes à l’entreprise. Pour éviter des offres détricotées et piégeuses pour l'entreprise, certains assureurs font le choix d’imposer un package aux courtiers.
- Simplification de la souscription : Si l’argumentaire semble avoir convaincu les plus réticents, il n’est pas rare de passer quand même à côté de la souscription. L’acte d’achat n’est pas une évidence et il faut absolument simplifier la souscription. Car il faut bien reconnaître que les conditions très strictes parfois posées par des audits qui reviennent plus cher que les contrats d’assurance, ont tôt fait de dégouter les plus convaincus. Il y a donc une vraie urgence à simplifier les tests et les vérifications en amont et de se limiter à un questionnaire de 8 à 18 questions selon l’activité de l’entreprise, avec des sujets simples. Il faut imaginer moins de 10 questions purement techniques comme : votre pare-feu est-il à jour ? Avez-vous un antivirus payant à jour ?” etc…
Les 3 piliers communs à couvrir
En pratique, les offres proposent toutes de couvrir les 3 piliers suivants qui se résument ainsi : les dommages que vous subissez, les dommages que vous allez causer, et le besoin d’assistance pour régler la crise.
- Gestion de crise : Là où une grande entreprise n’aura pas forcément besoin de l’assureur pour gérer sa crise, une TPE/PME aura bien plus souvent besoin qu'un expert informatique vienne l’aider, investiguer, participer à rétablir et restaurer son système d’information.
- Protection de l’activité : les frais de reconstitution des données, de décontamination de maliciel, les pertes résultants de la cyber-fraude, etc…
- Responsabilités liées à la fuite de données : une TPE/PME aura besoin d’être épaulée pour faire face à sa responsabilité juridique, à la notification à la CNIL en cas de fuite de données, à la mise en place d’une communication de crise…
Les options
La différence entre les contrats se fait sur ces points :
- L’association ou la séparation des 2 garanties dommages et responsabilité civile (on vous propose souvent un package mais les 2 peuvent être dissociées).
- La possibilité de rembourser ou non le paiement d’une hypothétique rançon. En France 1/5 entreprise a été visée par ce type d’attaque en 2019, et 6 % d’entre elles ont versé une rançon pour un montant cumulé de 335 millions d’euros. Ce service controversé de payer une rançon n’a donc rien d’anodin. Plusieurs assureurs le proposent même s’ils disent le réserver aux clients qui ont une vraie politique de sauvegarde et de gestion du risque via la gestion des mots de passe et l’application des correctifs de sécurité développés par les éditeurs de logiciels. Autant dire que les PME et TPE sont rarement aussi bien parées (plus de la moitié des PME ne possèdent pas la triple protection anti-virus, firewall, anti-spam).
Le prix
Le marché cyber reste volatil en termes de prime, mais est toujours en mesure de proposer des primes compétitives sur les entreprises du bas de segment. Les primes les plus basses sont de l’ordre de 500 euros mais elles varient beaucoup en fonction de la taille, du secteur d’activité et des pratiques de sécurité de l’entreprise.