> Sécurité > Cyber-assurances, priorité ou faux remède pour les TPE et PME ?

Cyber-assurances, priorité ou faux remède pour les TPE et PME ?

Sécurité - Par Sabine Terrey - Publié le 15 novembre 2024
email

Les cyber-assurances se multiplient en France, promettant aux entreprises une protection contre les pertes financières dues aux cyber incidents. Mais pour les petites structures (TPE, PME et ETI), est-ce vraiment un investissement indispensable ?

Cyber-assurances, priorité ou faux remède pour les TPE et PME ?

Guillaume Collard, fondateur de la CSB.School et Président de BPR Security partage son analyse sur le sujet.

Les cyber-assurances se multiplient en France, promettant aux entreprises une protection contre les pertes financières dues aux cyber incidents. Mais pour les petites structures (TPE, PME et ETI), est-ce vraiment un investissement indispensable ?

Face à des budgets limités et à des risques multiples, les entreprises doivent en effet établir des priorités. Un examen attentif des avantages et des limites de la cyber-assurance révèle qu’elle pourrait ne pas être la meilleure solution initiale pour celles-ci.

Une vulnérabilité accrue des TPE et PME face aux cybermenaces

Les TPE et PME françaises sont exposées aux cyberattaques, une réalité souvent difficile à anticiper pour des structures à ressources limitées. Selon le rapport CESIN 2023, les cyberattaques contre les entreprises françaises ont augmenté de 54% en un an, ce qui a poussé le gouvernement et l’Union Européenne à renforcer la réglementation en matière de cybersécurité via, par exemple, la loi LOPMI ou encore la directive NIS2. La loi LOPMI impose ainsi aux entreprises de se conformer à des standards plus élevés en matière de cybersécurité. En cas d’incident, ces normes peuvent exiger une notification rapide aux autorités, avec des amendes pour les sociétés non conformes.

Pour les assureurs, ce contexte devrait représenter un terrain favorable ; pourtant, même eux peinent à se couvrir efficacement face aux cyber-risques.

Guillaume Collard, fondateur de la CSB.School et Président de BPR Security

Une intégration problématique avec la responsabilité civile professionnelle

Si la cyber-assurance est souvent présentée comme un complément de la responsabilité civile professionnelle (RCP), la réalité est toutefois plus complexe. La RCP couvre traditionnellement les dommages causés à des tiers dans le cadre de l’activité, mais elle ne prend pas en charge les conséquences spécifiques d’un cyber incident, telles que la restauration des systèmes ou les pertes d’exploitation. Si l’assurance cyber semble combler cette lacune, cette complémentarité est sujette à caution, car les polices de cyber-assurance sont souvent limitées par des conditions strictes. Les assureurs exigent que les entreprises aient pris des mesures préalables rigoureuses, faute de quoi l’indemnisation risque d’être refusée…

Ainsi, la cyber-assurance est utile surtout aux structures déjà (très) bien protégées — mais qui ont donc déjà investi dans des mesures de sécurité avancées (sic).

Les priorités de cybersécurité : tester la résilience avant de souscrire

Pour les TPE et PME, se doter d’une cyber-assurance pourrait bien représenter un effort coûteux, surtout s’il existe d’autres priorités de cybersécurité plus efficaces. L’ANSSI recommande d’abord aux entreprises de tester leur résilience, d’améliorer leurs systèmes de sécurité et de former les employés pour limiter les vulnérabilités. Ces démarches peuvent significativement réduire les risques et s’avèrent souvent plus rentables que la souscription à une assurance.

Les mesures de résilience telles que des tests d’intrusion réguliers, la sauvegarde des données, la mise à jour constante des logiciels et la sensibilisation des équipes représentent autant d’outils essentiels pour renforcer la sécurité des organisations. Une étude de KPMG en 2022 a montré que 63% des TPE et PME qui investissaient dans la sensibilisation et les mesures de prévention parvenaient à réduire les incidents cyber de 25% en moyenne. Une cyber-assurance n’est, en somme, qu’un outil de protection post-incident, tandis que ces mesures préventives jouent un rôle essentiel et plus durable.

Un marché complexe : même les assureurs ont du mal à calculer les risques

Si la cyber-assurance était véritablement efficace, ne devrait-elle pas être souscrite avec confiance par les assureurs eux-mêmes ? Or, plusieurs compagnies d’assurance choisissent de se réassurer ou de limiter leur exposition aux cyber-risques. Pourquoi ? Parce que le calcul des risques cyber est extrêmement complexe et dépend de multiples facteurs changeants. Contrairement aux modèles établis pour d’autres assurances, comme l’assurance incendie ou vol, il n’existe pas de modèle mathématique fiable pour le risque cyber, ce qui rend sa prédiction et sa tarification hasardeuses. Les modèles classiques d’analyse de risque, basés sur des statistiques passées, s’adaptent mal à la nature dynamique et imprévisible des cybermenaces.

Un rapport de Munich Re, l’un des plus grands réassureurs mondiaux, a révélé que plus de la moitié des assureurs européens préfèrent limiter leurs couvertures cyber ou se réassurer pour minimiser les pertes potentielles. Cela envoie un signal clair aux entreprises : si les assureurs eux-mêmes doutent de la viabilité des modèles de risque cyber, pourquoi les entreprises devraient-elles investir massivement dans ces produits ?

Les coûts élevés et les limites des garanties : une couverture qui laisse à désirer

Les cyber-assurances ne sont pas seulement coûteuses, elles sont aussi limitées. Pour une TPE ou PME, une cyber-assurance coûte entre 1 500 et 6 000 euros par an. Pour ce montant, les entreprises pourraient investir dans des solutions de sécurité proactives et des formations pour leurs employés. D’autant plus que les cyber-assurances incluent souvent de nombreuses exclusions : en cas de négligence interne, de logiciel obsolète ou d’absence de certaines mesures de protection, l’assurance peut refuser de couvrir les dommages.

Une politique d’assurance qui reste, pour beaucoup, une couverture incertaine, car soumise à des conditions restrictives.

La prudence s’impose pour les petites entreprises

Face à l’incertitude, investir d’abord dans des solutions concrètes de cybersécurité apparaît comme la meilleure stratégie pour les TPE, PME et ETI. Ces structures gagneraient davantage en sécurisant leurs systèmes, en testant régulièrement leur résilience et en sensibilisant leurs employés, plutôt qu’en souscrivant une cyber-assurance aux garanties limitées et coûteuses. Tandis que les assureurs eux-mêmes doutent de leur propre capacité à gérer ces risques, les entreprises devraient prioriser les actions qui leur apportent des résultats concrets en matière de sécurité.

Pour une petite entreprise, investir dans la prévention plutôt que dans une assurance encore imparfaite semble être une décision judicieuse. Quant à savoir si la cyber-assurance deviendra un outil réellement utile pour les TPE et PME dans le futur, la réponse dépendra de la capacité des assureurs à mieux cerner et modéliser les risques.

Cyber risques, pour compléter votre information :

RSSI : Faire comprendre le risque cyber ! · iTPro.fr

La menace cyber pèse sur les collectivités territoriales · iTPro.fr

Les PME françaises en alerte ! · iTPro.fr

Risques de cyberattaques et compromissions des institutions financières

Téléchargez cette ressource

Travail à distance – Guide IT et Métiers

Travail à distance – Guide IT et Métiers

Le travail à distance met à l'épreuve la maturité numérique des entreprises en termes de Cybersécurité, d'espace de travail, de bien-être des collaborateurs, de communication et gestion de projet à distance. Découvrez, dans ce nouveau Guide Kyocera, quels leviers activer prioritairement pour mettre en place des solutions de travail à domicile efficaces, pérennes et sécurisées.

Sécurité - Par Sabine Terrey - Publié le 15 novembre 2024

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT