Cyber risques : "le niveau de connaissance des TPE/PME est nul ou proche du néant"

0
200
Heïdi Salazar, Fondatrice du Groupe Dolce Vita répond à nos questions. En 2020, 50% des petites et moyennes entreprises françaises ont été la cible d’une cyber attaque. Souvent moins bien protégées que les grands groupes, elles sont la cible privilégiée des hackers. Pour les entreprises et quelles que soient leurs tailles, une très bonne connaissance des enjeux cyber est nécessaire pour bien en prévenir les risques. Selon vous, quelle est d’un point de vue général, le niveau de connaissance des risques cyber des entreprises ?

Le niveau de connaissance des petites et moyennes entreprises françaises est nul ou proche du néant, et dans ce contexte, le courtier a un véritable rôle de conseil et de pédagogie à mener auprès de l’ensemble de ses clients professionnels et entreprises. Le courtier d’assurance se doit de permettre, pour son client, la compréhension des enjeux et la nécessité d’une couverture assurantielle pour ces risques. Même si ce contrat répond à un besoin factuel et apporte de réelles solutions aux petites et moyennes entreprises, les contrats de cyber assurance sont encore perçus comme un énième contrat d’assurance non essentiel, créé par les assureurs pour générer de la vente additionnelle !  Cela ne nous empêche pas d’exercer notre devoir de conseil qui nous impose de mener très régulièrement des campagnes d’information sur les risques et les solutions existantes, mais surtout qui vise à faciliter à nos clients l’analyse de leurs risques cyber.

Pour toutes les entreprises, un risque principal est incontestablement la non-assurance dans la mesure où si une entreprise n’est pas assurée contre ce risque, elle supportera les conséquences pécuniaires des attaques, et les coûts importants pour pouvoir y remédier. Les entreprises ont-elles conscience du risque financier et du risque d’image en cas de cyber attaque ?

Les grandes entreprises sont sensibilisées depuis de nombreuses années par leur service informatique, mais rappelons que 89% des entreprises françaises sont des TPE PME qui ne mesurent pas le risque encouru lors de cyber attaques et encore bien moins les conséquences financières et le déficit d’image qu’elles peuvent générer.

Les entreprises sont-elles responsabilisées sur la nature du risque, l’hygiène informatique indispensable et les gestes barrières pour se prémunir des risques cyber ?

Les petites et moyennes entreprises françaises le sont plus ou moins, en fonction de la qualité de leur intermédiaire d’assurance. Quand elles le sont, le problème à traiter est le choix de la société à qui elles vont devoir confier la gestion de leur cyber sécurité. Les TPE-PME sous-traitent ces compétences, sans avoir la compétence métier de vérifier la qualité du prestataire choisi ! Ceci créé un déséquilibre et augmente de façon accrue le risque.

La cyber sécurité est-elle au sommet des priorités quotidiennes des entreprises ? Des actions de sensibilisation, de prévention sont à mener régulièrement pour les entreprises. Le font-elles ?

Cela va dépendre de l’activité de l’entreprise et de son mode de distribution. Il parait évident qu’une entreprise qui commercialise ses offres en ligne sera parfaitement sensibilisée et aura une quasi parfaite connaissance des risques. A contrario, d’autres entreprises, sans vente en ligne, ne placent pas la cyber sécurité au cœur de leur priorité. Au sein de Dolce Vita, nous menons depuis 36 mois, 4 campagnes annuelles de sensibilisation de masse sur l’intégralité de notre portefeuille, et nous personnalisons cette sensibilisation lors de nos points annuels avec nos clients. Ceci permet au client d’avoir une pleine connaissance des risques, de se familiariser avec l’intérêt d’un contrat d’assurance pouvant le prémunir, et d’avoir tous les éléments lui permettant de choisir de souscrire ou non une telle garantie.

En tant qu’intermédiaires d’assurance de proximité, la cyber assurance est-elle pour vous un levier de croissance ? Si non pourquoi ? Si oui, depuis combien de temps ? Sur quelles cibles en particulier ? Quel est votre estimation du potentiel sur ce risque en termes de business ?

Absolument, c’est un nouveau risque, avec de nouvelles solutions, ce qui implique que toutes les entreprises peuvent être équipées. La marge de progression est intéressante et plutôt aisée car l’action commence par équiper nos clients en portefeuille. Il s’agit également d’une clé d’entrée auprès de nouveaux clients. Nous constatons depuis 12 mois une nette accélération des souscriptions et ceci laisse penser qu’il aura fallu 24 mois de sensibilisation et de pédagogie pour mener les clients à prendre conscience de l’importance d’une telle garantie. A mon sens ce contrat doit être proposé à chaque entreprise, qu’elle qu’en soit la taille.

Y a-t-il, selon vous une augmentation de la demande pour la cyber assurance ?

Nous constatons qu’aucun client nous demande spontanément, par lui-même, une garantie risque cyber. Toutefois le travail pédagogique et de sensibilisation mené, l’entreprise fini par mesurer son besoin et souscrire la garantie.

Les contrats de cyber assurance sont-ils, selon vous adaptés aux besoins de vos clients ? Présentent-ils des forces/faiblesses ?

Globalement oui, néanmoins nous manquons de visibilité dans l’enclenchement de cette garantie et la gestion sinistre qui doit en découler…, par exemple, sous quel délai une cyber attaque est-elle réglée ? Quel est le pourcentage de données totalement récupérées ? Quel est le coût moyen d’un sinistre par type d’entreprise ? Quels sont les impacts mesurés sur une attaque de la marque ? Quels sont les actions menées pour rétablir une attaque portant sur les fichiers et données clients ? Les sinistres génèreront les réponses, toutefois une plus grande lisibilité et mise en exergue des conditions d’indemnisation permettrait une augmentation significative des parts de marché et de prise de conscience collective. Rajoutons qu’une simplification du vocabulaire faciliterait certainement la compréhension des offres par les clients.

Comment se traduit concrètement votre rôle de conseil sur ce type de risques ?

Il convient d’expliquer au client quel est le risque et quelles peuvent être les conséquences pour son entreprise, lui donner des exemples concrets de sinistres pouvant être pris en charge, l’accompagner dans l’analyse de son propre risque cyber, l’aider à mesurer les conséquences chiffrées d’une cyber attaque, le sensibiliser sur l’ensemble des moyens de prévention existant ou à mettre en place. Pour finir, nous devons solliciter différentes compagnies et proposer à l’entreprise le devis le mieux adapté à ses besoins.

Sur ce type de risque vous sentez-vous assez formé, informé, … ?

Nous sommes formés et informés et d’ailleurs les compagnies d’assurance mettent à disposition tous les éléments nécessaires. A ce jour, ce qui nous manque le plus est un retour sinistre. Par contre, nous ne sommes pas en mesure d’accompagner factuellement le client dans la gestion opérationnelle de son sinistre !
Jean-Luc Gambey – L’assurance en Mouvement / Vovoxx

ITW du magazine « Dessine-moi l’Assurance » que vous pouvez télécharger, diffusé gratuitement à 47 000 professionnels assurance dont 30 000 intermédiaires de proximité (agents généraux, courtiers/courtiers grossistes, cabinets de CGP).
Le #3 de ce magazine est prévu pour fin novembre 2021. Si intérêt, n’hésitez pas à nous contacter.

Laissez un commentaire

Please enter your comment!
Please enter your name here