• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Assurance > Nouveaux risques > Cyber-assurance : quelles offres pour les TPE/PME ?

Cyber-assurance : quelles offres pour les TPE/PME ?

Alors que la crise du coronavirus a forcé la France à se confiner une deuxième fois, le télétravail et le bouleversement des pratiques habituelles renforcent le risque cyber encouru par les entreprises. État des lieux des couvertures que proposent les assureurs aux petites et moyennes entreprises et de leur réception. 

Par . Publié le 04 décembre 2020 à 14h21 - Mis à jour le 10 janvier 2022 à 16h57
  • Ressources

Confinement, télétravail, relâchement des bonnes pratiques… L’époque est à l’accroissement du risque cyber, pour les grandes comme pour les petites entreprises. Et les cyberattaques peuvent avoir toutes sortes d’effets, du vol de données clients au détournement de salaires (Proofpoint déclare par exemple en avoir bloqué plus de 35 000 aux États-Unis au premier semestre 2020), quand l’événement n’en vient pas à bloquer totalement les activités de la société visée. Face à ces risques, comment se protègent les plus petites entreprises ? En 2017, mind Fintech étudiait déjà l’offre d’assurance mises à leur disposition, constatant d’une part que le marché n’avait pas encore atteint sa maturité en termes d’offres, d’autre part que les entreprises elles-mêmes n’avaient pas encore le réflexe de se tourner vers les assureurs. 

Trois ans plus tard, les choses ont évolué. Prises dans leur ensemble, les entreprises sont plus alertes : leurs dépenses de cybersécurité ont augmenté de 39% et elles réagissent mieux aux failles détectées dans leurs systèmes, selon le rapport 2020 d’Hiscox sur la gestion des cyber-risques. Néanmoins, les pertes liées aux cyber-incidents augmentent, pour un coût médian de 50 000 euros, et des pertes totales de 1,6 milliard d’euros (contre 1,1 milliard en 2019). Au total, la Fédération française de l’assurance (FFA) estimait à 80 millions le nombre de primes d’assurance cyber sur le marché français en 2018, puis à 105 millions en 2019. Mais celles-ci se répartissent inéquitablement selon Christophe Delcamp, directeur adjoint des assurances de biens et de responsabilité au sein de la FFA, qui constatait début 2020 auprès de daf mag que “80 % des entreprises du CAC 40 ont souscrit une cyberassurance, ce qui est loin d’être le cas des plus petites.”

Pédagogie et simplification

Cyber Practice Leader chez Willis Towers Watson, Ezechiel Symenouh confirme : “les TPE-PME forment un segment d’entreprises qui n’a toujours pas pris la pleine mesure du problème”. Elles représentent “95 % du tissu économique français”, mais seulement 17 % sont assurées, selon le gouvernement. C’est la raison pour laquelle la société de courtage et de conseil a commencé à développer une offre sur mesure pour les petites entreprises fin 2017. “Il était devenu clair que ce type d’acteur n’a pas la même perception du risque que les grandes entreprises. Les petites entreprises forment un marché très fragmenté et ont besoin d’un accompagnement aussi bien technique qu’économique”, note Ezechiel Symenouh. Willis Towers Watson s’attelle donc à faciliter les souscriptions et à élaborer des offres flexibles, pour permettre de répondre à une diversité de besoins.

Les assureurs, qui s’adaptent en conséquence, apportent leur contribution. Chez Groupama, par exemple, l’offre Cyber Up, construite à partir de celle développée en 2016 par GAN, a été retravaillée. “La rédaction de l’offre est de plus en plus pédagogique, de manière à répondre aux besoins de compréhension des clients, explique Martine Coët, en charge des entreprises chez Groupama Assurances Mutuelles. Le cyber n’est pas encore une couverture obligatoire à leurs yeux, donc nous cherchons au moins à nous assurer qu’ils sachent bien sur quoi ils sont couverts et sur quoi ils ne le sont pas.”

Des offres se créent aussi via des partenariats avec des start-up, comme celui entre Swiss Re et Ozon. “Quelle que soit la manière, les assureurs ont tout intérêt à s’adresser à ce segment du marché puisqu’on est face à une problématique de mutualisation du risque, détaille Ezechiel Symenouh. Aujourd’hui, les sinistres s’intensifient, donc pour se protéger, il faut offrir des solutions à l’ensemble de l’écosystème.” 

Souscription simplifiée

Malgré cela, Martine Coët rapporte cette éternelle problématique. “L’acte d’achat n’est pas là. Les médias nous ont aidés à convaincre nos clients qu’ils auraient besoin de ces couvertures, la prise de conscience est arrivée, mais le besoin de conseil est vraiment très élevé” pour se transformer en souscription réelle. Même son de cloche du côté de Generali France. “Nous avons mené une enquête sur les risques identifiés par les patrons pour leurs entreprises, rapporte Bernard Duterque, directeur risques cyber, et il est clair que le cyber augmente dans leurs préoccupations. Pour autant, très peu jugent utiles de s’assurer.”

Alors, tout est fait pour expliquer et accompagner, au niveau des agents comme des courtiers, puis, pour éviter de perdre les prospects et simplifier la souscription. “Avant, on posait des conditions très strictes, on demandait des audits qui revenaient quasiment plus cher que les contrats d’assurance, c’était vraiment complexe”, souligne Frédéric Rousseau, responsable de marché cyber chez Hiscox France. Aujourd’hui, plus de tests ou de vérifications trop lourdes en amont. Chez Generali, “on se limite à un questionnaire de 8 à 18 questions selon l’activité de l’entreprise, avec des sujets simples, des questions comme : votre pare-feu est-il à jour ? Avez-vous un antivirus payant à jour ?”, détaille Bernard Duterque. Chez Hiscox, “nous avons moins de 10 questions purement techniques, et celles-ci sont déjà très liées aux bonnes pratiques que l’on peut recommander, explique Frédéric Rousseau. On cherche à savoir si l’entreprise travaille encore sur des unités qui ne sont plus supportées par le fabricant, par exemple.” Si l’entreprise est encore sous Windows XP, sa prime risque de monter. Si elle réalise des sauvegardes régulières et recourt de manière habituelle à l’authentification forte, en revanche, l’assureur verra un risque de qualité. 

Néanmoins, si des TPE-PME demandent des vérifications plus poussées, les assureurs les dirigeront vers des partenaires capables de réaliser les audits ou les pentests demandés (Cisdream chez Generali, SecurityScorecard pour AXA, etc). “Mais c’est très rare, c’est une pratique que l’on voit plus pour des entreprises de plus grande taille”, affirme Laurence Lemerle, directrice risques techniques et cyber chez AXA. Le sujet le plus important, en réalité, consiste “à dissiper l’amalgame souvent fait entre ce que couvre une assurance cyber et une assurance de responsabilité civile, détaille Martine Coët. On travaille à bien montrer que l’une ne remplace pas l’autre, et que le nerf de la guerre, en matière cyber, réside dans la capacité à prendre la problématique en charge dans les 4 heures maximum”, afin d’éviter des pertes trop lourdes à l’entreprise. Pour éviter des offres “détricotées” et piégeuses pour l’entreprise, Hiscox a même fait le choix “d’imposer un package aux courtiers”, ajoute Frédéric Rousseau. 

Offres de base très similaires

En pratique, les offres se ressemblent et proposent toutes de couvrir d’une manière ou d’une autre les trois piliers suivant : gestion de crise, protection de l’activité (frais de reconstitution des données, de décontamination de maliciel, pertes résultants de la cyber-fraude, etc) et responsabilités liées à la fuite de données. Chez Hiscox, Frédéric Rousseau formule cela comme “un montage qui enveloppe les dommages que je subis, les dommages que je vais causer, et le besoin d’assistance pour régler la crise”.

Toutes proposent aussi une prise en charge rapide, par téléphone ou en présentiel selon le besoin, afin de limiter les dégâts. “Lorsqu’il arrive dans son entreprise et qu’il voit les écrans bloqués sur une demande de rançon, l’assuré subit un stress énorme, donc nous avons voulu lui simplifier les choses au maximum”, explique Bernard Duterque. “Là où une grand entreprise n’aura pas forcément besoin de l’assureur pour gérer sa crise, une TPE/PME aura bien plus souvent besoin qu’un expert informatique vienne l’aider, investiguer, participer à rétablir et restaurer son système d’information”, souligne Ezechiel Symenouh (Willis Towers Watson), de même qu’elle cherchera à être épaulée pour faire face à sa responsabilité juridique, à la notification à la CNIL en cas de fuite de données, à la mise en place d’une communication de crise…

Generali Protection Numérique s’est donc alliée à Europ Assistance pour la prise en charge des assurés, tandis qu’Hiscox s’est tourné vers Inquest. À ces derniers de déclarer le sinistre, puis de prendre contact avec le prestataire informatique de l’assureur, qui s’engage à rappeler le client rapidement. L’autre possibilité proposée est de travailler avec le prestataire informatique de l’entreprise, ou au moins de l’associer à la résolution de crise, car c’est lui qui connaît le mieux le système d’information de la TPE ou PME visée par l’attaque. Ensuite, chaque assureur a un panel de prestataires juridiques, de communication ou autre à suggérer à l’assuré si celui-ci en exprime le besoin. 

La rançon en option

La différence entre les contrats se fait plutôt sur des détails. Sur l’association ou la séparation des deux garanties dommages et responsabilité civile, par exemple. “Nous avons choisi de les séparer pour éviter que, sujette à une attaque qui a aussi bien des conséquences dommages que des implications de responsabilité civile, une entreprise n’utilise l’intégralité de sa garantie uniquement sur le volet dommages”, fait remarquer Bernard Duterque (Generali France). AXA a même fait le choix de proposer une base dommages et la garantie responsabilité civile en option, selon Laurence Lemerle. “Nous nous distinguons dans la manière de le packager, reconnaît-elle, avec un socle de garanties complet pour les PME, parce que celles-ci n’ont pas nécessairement le temps ni le même besoin de précision qu’une grande entreprise pour assembler l’offre optimale.”

La possibilité de rembourser ou non le paiement d’une hypothétique rançon est un autre point de différenciation : certains le proposent, d’autres n’offrent que le conseil. Des décisions qui n’ont rien d’anodin : sur le marché français, près d’une entreprise sur cinq a été visée par ce type d’attaque en 2019, selon Hiscox. Dans son rapport, l’assureur américain montre aussi que 6 % du panel d’entreprises interrogées en ont versé une, pour un montant cumulé de 335 millions d’euros. Il a d’ailleurs décidé de proposer ce service parfois controversé, “car nos experts ont démontré que c’est la meilleure solution, lorsqu’aucune autre option n’est possible”, pointe Frédéric Rousseau. AXA offre aussi cette option, “mais nous la réservons aux clients qui ont une vraie politique de sauvegarde et de gestion du risque, explique Laurence Lemerle, via au moins deux logiques : la gestion des mots de passe, et l’application des correctifs de sécurité développés par les éditeurs de logiciels”.

Ces pré-requis sont importants :  les petites et très petites entreprises sont souvent moins parées que les plus grandes. “Certaines études ont démontré que plus de la moitié des PME ne possèdent pas la triple protection anti-virus, firewall, anti-spam“, affirme ainsi Ezechiel Symenouh. Mais le rapport d’Hiscox montre tout de même un progrès de ce côté là, nombre d’entre elles suivant des formations de sensibilisation et/ou définissant clairement leurs besoins et niveaux de tolérance en matière de cybersécurité. Par ailleurs, les assureurs les aident aussi à progresser sur la question : “plus de 80% des incidents de sécurité sont d’origine humaine, que ce soit par malveillance ou par erreur, rappelle Martine Coët (Groupama). Nous sommes donc aussi présents sur la formation des salariés.” Fiches, e-learning construits en interne, partenariats avec prestataires extérieurs… Tout est bon pour rendre les employés de petites entreprises plus alertes et éviter de rendre trop simple la cyberattaque. 

Vers un assèchement progressif du marché ? 

Quel prix pour tous ces services ? Ezechiel Symenouh constate que “le marché cyber reste volatil en termes de prime, mais est toujours en mesure de proposer des primes compétitives sur les entreprises du bas de segment. Les primes les plus basses sont de l’ordre de 500 euros [1 000 euros sur les grilles tarifaires de Willis Towers Watson, ndlr]”. Chez Generali, “notre prime n’a quasiment pas évolué depuis 2017 [où elle se chiffrait de 700 à 3500 euros, ndlr], tout au plus avons-nous opéré quelques ajustements entre la partie dommages et la partie responsabilité civile”, relève Bernard Duterque. Chez AXA aussi, déclare Laurence Lemerle, “on peut commencer à quelques centaines d’euros”. Quant à Frédéric Rousseau (Hiscox), il signale que les primes varient beaucoup en fonction de la taille, du secteur d’activité et des pratiques de sécurité de l’entreprise, mais qu’elles restent en moyenne “moins chères que des primes de responsabilité civile, et très intéressantes dans la mesure où le coût des sinistres est sur une pente ascendante”. 

Car les sinistres eux-mêmes se multiplient, et cela joue sur les prix comme sur les garanties. “Au départ, les assureurs ont vu le risque cyber comme un relais de croissance et ont mis en place une politique tarifaire assez agressive [lire notre article sur le sujet] pour faire la promotion de leurs offres, rappelle Ezechiel Symenouh. Sauf que depuis quelques années, ils ont vu la sinistralité s’accroître considérablement.” De l’avis de tous, la tendance est donc à la contraction. Effet collatéral de l’augmentation de la sinistralité, Frédéric Rousseau signale un “assèchement progressif du marché”, certains préférant “baisser leurs capacités” plutôt que d’augmenter leurs tarifs. Laurence Lemerle abonde : là où des acteurs pouvaient délivrer “jusqu’à 25 millions de dollars de capacités, ils redescendent à 15 voire 10 millions, et continueront peut-être à réduire.”

AXA a d’ailleurs publié une tribune appelant l’État à l’aider à protéger les entreprises. “Nous regrettons un marché devenu irrationnel dans son approche mais les assureurs nous font comprendre que si nous souhaitons qu’ils accompagnent les entreprises sur le long terme, à savoir une présence sur ce marché dans les 5 ou 10 prochaines années, cela passe par des majorations de primes et la revue des conditions de garanties afin de pérenniser leur portefeuille. D’autant plus que les risques dont nous parlons ici peuvent avoir un caractère systémique, et les assureurs peuvent voir l’ensemble de leurs portefeuilles touchés par un sinistre d’intensité à l’échelle mondiale”, estime Ezechiel Symenouh (Willis Towers Watson). 

Et les remous de la crise du coronavirus n’arrangent rien. Alors que les emails de phishing se sont multipliés par 350 depuis janvier 2020, selon une étude de Google, des assureurs comme Groupama ont constaté une hausse des sinistres. Une observation faite “surtout à la réouvertures des entreprises, les hackers ayant profité des fermetures en urgence pour s’infiltrer d’une manière ou d’une autre dans les systèmes”, analyse Martine Coët. Frédéric Rousseau (Hiscox) témoigne quant à lui d’un regain d’activité “côté PME, sensible entre la fin du confinement et celle de l’été”, et d’un mouvement “plus disparate du côté des très petites structures”. Et si personne ne communique sur son volume annuel de primes cyber, tout le monde admet qu’il augmente – de 25 à 30 % par an par exemple du côté de Generali.

En fait, estime Laurence Lemerle (AXA), le marché est en plein mouvement paradoxal de réévaluation des stratégies à la baisse, “car le cyber est le risque systémique par excellence”, alors même que le bas du segment des entreprises devrait voir son inclination pour ce type de couverture augmenter régulièrement. “À court terme, il y aura probablement une contradiction entre cet appétit plus grand des entreprises pour nos produits et notre propre gestion du risque en tant qu’assureur”, craint la directrice.

  • cyberassurance

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

À lire

Tribune gratuit

Assurance des cyber-risques : comment les modéliser pour s'en prémunir ?

Cyber-assurances : la France fait partie des marchés les plus agressifs en termes de tarification et de franchise
Entretien

Régis Rocroy (Ozon) : “Nous sommes convaincus de la pertinence du couple cybersécurité et cyberassurance”

Moins d'une PME française sur deux est assurée contre le cyber-risque
Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025