Une entreprise sur 10 sans assurance contre les cyber-menaces

En France, seules 40% des entreprises sont intégralement couvertes contre les violations de sécurité et à la perte de données révèle le dernier rapport Risk : Value 2016 publié par NTT Com Security (1) fin avril 2016.

Parmi les 1 000 décideurs (hors fonction IT) interrogés pour les besoins de l’enquête Risk : Value 2016 aux États-Unis et en Europe (France, Royaume-Uni, Allemagne, Suède, Norvège et Suisse), plus d’un sur dix (12%) avoue que son entreprise n’est couverte contre aucune des deux plus grandes cyber-menaces : la violation de sécurité ou la perte de données. Paradoxe si l’on considère que la majorité des personnes interrogées reconnaissent l’intensification des cyber-attaques. En moyenne, elles estiment le coût d’un retour à une situation normale à près d’un million de dollars, soit environ 880 000 €. Rappelons que Selon la dernière enquête de PWC (2) sur le marché de la cyber-assurance, le nombre de cyber-attaques recensées a progressé de 38% dans le monde en 2015 – et de 51% en France. Ces familles de cyber-menaces représentent un coût aujourd’hui évalué au niveau mondial à environ 400 milliards de dollars.

Le dernier rapport Risk : Value 2016 publié par NTT Com Security note que c’est toujours aux États-Unis que l’on trouve le plus d’entreprises « cyber-assurées » – 51% des entreprises contre seulement 26% au Royaume-Uni. Les secteurs les plus ouverts aux polices de cyber-assurance dédiées sont le retail (43%), les prestataires de services B2B (43%) et les entreprises d’utilité publique (39%).

La France en retard dans l’assurance contre les cyber-menaces

Toujours selon le rapport de NTT Com Security, le cas de la France révèle un certain retard avec 40% de décideurs qui déclarent être couverts financièrement à la fois contre les pertes de données et les violations de sécurité. Parmi eux, 26% (taux le plus bas de tous les pays) prétendent que leur cyber-assureur couvrirait les frais de justice résultant d’une perte de données ou d’une violation de sécurité. En revanche, 31% (taux le plus haut) déclarent que ce même cyber-assureur couvrirait aussi les frais de « situation de crise » (RP/Marketing). D’autres indicateurs du rapport Risk : Value 2016 apportent un éclairage nouveau. Ainsi, les décideurs français interrogés analysent que la première cause d’invalidation d’une couverture serait le non-respect des politiques internes (55%), suivie par l’absence de plan d’intervention sur incident (51%), le non-respect des obligations de conformité (47%) et une sécurité physique insuffisante (41%).

Parmi les décideurs d’organisations assurées contre les violations et les pertes de données, 46% seulement estiment que leurs frais de justice seront couverts. Ils sont encore moins nombreux à estimer que leurs cyber-polices les couvrent contre des sanctions réglementaires (43%), amendes des pouvoirs publics (41%) et réparations (41%). Quant aux risques de manque à gagner et de perte de propriété intellectuelle, ils ne sont couverts que par 25% des entreprises sondées.

Pour un acteur de la cyber-assurance offrant une police dédiée, il est essentiel que des dispositifs de réduction des risques existent. Il lui faut également constater sur place ce que ces process recouvrent concrètement. Il faut enfin que les entreprises désireuses de souscrire démontrent que ces dispositifs sont régulièrement testés et audités. Les engagements pris par les intégrateurs, VARs, éditeurs et prestataires de services hébergés deviennent dans ce contexte stratégiques.

Dès lors, il devient de plus en plus essentiel pour les entreprises de réinvestir dans la cyber-sécurité et d’instaurer avec plus de rigueur des dispositifs de contrôle et de surveillance. Ces dispositifs doivent de toute urgence s’étendre aux infrastructures critiques en 2016 sous architectures ICS / SCADA.

Les budgets consacrés à la cyber-sécurité par les entreprises ont augmenté au niveau mondial en 2015; le marché mondial de la cyber-sécurité se développe rapidement – il représente aujourd’hui environ 77 milliards de dollars et devrait atteindre entre 130 et 170 milliards de dollars d’ici 2020.

Avec un montant des primes brutes émises de 2,5 Md$ en 2015 et une estimation à 7,5 Md$ à l’horizon 2020 note PWC, le marché de la cyber-assurance s’installe. Il ne peut le faire sans la complicité des acteurs incontournables de la cyber-sécurité.

Article invité de Jean-Philippe Bichard – www.cyberisques.com – Journaliste IT Cybersécurité / Data Protection
Follow @JPBICHARD//platform.twitter.com/widgets.js
Follow @SophosFrance//platform.twitter.com/widgets.js

*1 – L’ensemble des informations ci-dessus émanent du rapport Risk:Value 2016 publié par NTT Com Security. Réalisée par Vanson Bourne pour NTT Com Security, l’étude a été menée durant les mois d’octobre et novembre 2015. 1 000 décideurs (hors fonction IT) ont été interrogés aux Etats-Unis, au Royaume-Uni, en Allemagne (200 dans chaque pays), ainsi qu’en France, Suède, Norvège et Suisse (100 dans chaque pays). Ils appartenaient à des structures de plus de 500 salariés, exception faite de la Norvège, la Suède et la Suisse (250 salariés minimum).  L’étude était soumise à un seuil minimum de participants travaillant dans le secteur financier (au moins 50 au Royaume-Uni, aux États-Unis, en France et en Allemagne, et au moins 30 dans les autres pays).

*2 – Rapport PWC :  “Insurance 2020 & beyond: Reaping the dividends of cyber resilience”