Parmi les 1 000 décideurs (hors fonction IT) interrogés pour les besoins de l’enquête aux États-Unis et en Europe (France, Royaume-Uni, Allemagne, Suède, Norvège et Suisse), plus d’un sur dix (12 %) avoue que son entreprise n’est couverte contre aucune des deux menaces : la violation de sécurité ou la perte de données. Et ce, alors que la majorité des personnes interrogées reconnaissent l’intensification de l’activité cybercriminelle, estimant le coût d’un retour à la normale après une cyberattaque à près d’un million de dollars, soit environ 880 000 € !

Certes, les cyber-assurances font de plus en plus d’adeptes et incluent désormais des garanties contre les violations de données/confidentialité, ainsi que des couvertures de responsabilité civile en cas d’extorsion ou de compromission de la sécurité réseau. Cependant, même si 43 % sont en passe de contracter une telle police ou envisagent de le faire, seules 35 % des entreprises voient la nécessité d’y souscrire.

C’est aux États-Unis que l’on trouve le plus d’assurés – 51 % des entreprises contre seulement 26 % au Royaume-Uni. Les secteurs les plus réceptifs aux polices de cyber-assurance dédiées sont le retail (43 %), les prestataires de services B2B (43 %) et les entreprises d’utilité publique (39 %).

Parmi les décideurs d’organisations assurées contre les violations et les pertes de données, 46 % seulement estiment que leurs frais de justice seront couverts. Ils sont encore moins nombreux à penser être assurés contre des sanctions réglementaires (43 %), des amendes des pouvoirs publics (41 %) et des réparations (41 %). Quant aux risques de manque à gagner et de perte de propriété intellectuelle, ils ne sont couverts que pour 25 % des entreprises sondées.

Concernant la validité de leur contrat, la moitié des personnes interrogées estiment que le non-respect de certaines obligations de sécurité pourrait invalider leur couverture, tandis que 46 % voient un problème potentiel dans les écarts par rapport aux politiques internes et que 43 % évoquent le manque de plan d’intervention sur incident.

« Face aux risques qui les menacent chaque jour, les entreprises recherchent des solutions de rafistolage au lieu de consolider leur dispositif de sécurité et de gestion du risque », explique Garry Sidaway, Vice-président senior Strategy & Alliances, NTT Com Security.

« Au lieu de tout miser sur l’assurance, les entreprises devraient aborder le problème différemment. Si l’assurance est essentielle, il faut en effet aussi démontrer que des dispositifs de réduction des risques sont en place, tout en sachant exactement ce qu’ils recouvrent. C’est la seule façon de savoir ce qui est couvert par le contrat. Il faut aussi pouvoir démontrer que ces dispositifs sont régulièrement testés et audités. Les assureurs veulent savoir ce qu’ils assurent et connaître les mesures de réduction des risques mises en place. C’est la seule façon d’obtenir un contrat. »

« La sécurité doit faire partie intégrante de la culture d’entreprise et être relayée à chaque échelon de la pyramide. Elle doit être défendue par le PDG, conçue et appliquée par le RSSI, puis communiquée de manière à responsabiliser chaque salarié sur les bonnes pratiques à adopter », ajoute-t-il.

Avec un montant des primes brutes émises de 2,5 Md$ en 2015 et une estimation à 7,5 Md$ à l’horizon 2020, le marché de la cyber-assurance constitue un levier de croissance exceptionnel. C’est en tout cas ce qu’indique le rapport de PwC intitulé “Insurance 2020 & beyond : Reaping the dividends of cyber resilience”.

Le rapport Risk:Value de NTT révèle qu’à peine plus de la moitié (52 %) des entreprises possèdent une police tout-risque de sécurité informatique, tandis que 49 % d’entre elles ont mis en place un plan de reprise d’activité (PRA).