Le digital bat son plein et expose plus que jamais les entreprises aux risques cyber. En dépit de la mise en œuvre du RGPD, une attaque de ce type dans l’entreprise fait toujours l’objet d’un non-dit qui relève du secret-défense et grève les chances d’une couverture idoine.
journaliste
L’enquête menée par le courtier Bessé en partenariat avec PwC porte une lumière crue sur le non-dit relatif à une attaque cyber et nous apprend que plus de 76 % des ETI ont subi au moins un incident cyber en 2017. « Seuls 37 % des répondants se disent prêts à gérer un incident de ce type et disposent de procédures qui leur permettent d’y faire face efficacement », constate Jean-Philippe Pagès, directeur des pôles industrie, services et flottes auto chez Bessé. Pire, « 19 % déclarent ne pas avoir mis du tout en place de stratégie de protection de l’information ». En cas de crise cyber, plusieurs exigences s’imposent pourtant aux entreprises : un rétablissement de la disponibilité, de l’intégrité et de la confidentialité des données, ce qui suppose un plan de continuité ou de reprise d’activité (PRA), la gestion de crise, ou encore une communication fluide avec l’entreprise victime. Autant d’actions que le contrat d’assurance pourrait prendre en charge.
Si les dirigeants interrogés reconnaissent facilement n’avoir aucune vision stratégique des conséquences d’un cyber-accident, les offres de cyber-assurance ne sont pas pour autant perçues à leurs yeux comme des outils faisant partie de l’arsenal à même de traiter efficacement l’aléa. « Pourtant, il s’agit d’un facteur très puissant de résilience de l’entreprise », ajoute Jean-Philippe Pagès.
Les assureurs misent beaucoup sur la récente entrée en vigueur du RGPD et sur le rôle de la Cnil, qui n’hésite plus à manier le bâton pour punir tout manquement en matière de protection de données personnelles, pour accélérer la prise de conscience. C’est d’autant plus nécessaire que pour faire face à l’aléa cyber, organiser et accompagner la résilience de l’entreprise semble indépassable. Il faut avant tout prendre en charge la crise, puis organiser la prévention. Sur ce terrain, le courtier identifie des facteurs déterminants de la cyber-sécurité d’une entreprise : respecter les bonnes pratiques qui réduisent le risque cyber telles que changer régulièrement de mot de passe, renforcer la confidentialité de certaines procédures informatiques, etc. Le risque cyber fait partie des aléas émergents qui élargissent la matière assurable. Une manne bienvenue pour les assureurs en proie à la contraction à venir de certains de leurs principaux marchés, notamment celui de l’assurance auto avec l’avènement de la voiture autonome. Pour autant, la généralisation des couvertures n’est pas pour demain. Le courtier a ici un rôle critique à jouer, tant en termes de prise de conscience, de mise en œuvre des plans de continuité d’activité que d’évaluation des risques avant leur éventuel transfert au marché.
