Selon le rapport Risk:Value 2016 publié par NTT Com Security, moins de 50 % des entreprises sont protégées contre les violations de sécurité et les pertes de données.
Dans le détail, cette étude montre qu’au niveau mondial, 10 % des entreprises admettent n’avoir aucune cyber-couverture. En France, seules 40 % des structures sont intégralement couvertes contre les violations de sécurité et la perte de données. Idem, un peu plus du tiers des entreprises hexagonales ont contracté une police de cyber-assurance dédiée. En fait, parmi les 1 000 décideurs (hors fonction IT) interrogés pour les besoins de l’enquête, plus de 12 % avouent que leur entreprise n’est couverte contre aucune des deux menaces : la violation de sécurité ou la perte de données.
Pour autant les cyber-assurances font de plus en plus d’adeptes et incluent désormais des garanties contre les violations de données/confidentialité, ainsi que des couvertures de responsabilité civile en cas d’extorsion ou de compromission de la sécurité réseau. Cependant, même si 43 % sont en passe de contracter une telle police ou envisagent de le faire, seules 35 % des entreprises voient la nécessité d’y souscrire.
Le nombre d’assurés est plus important outre-Atlantique où 51 % des entreprises contre seulement 26 % au Royaume-Uni sont couvertes. Les secteurs les plus réceptifs aux polices de cyber-assurance dédiées restent le retail (43 %), les prestataires de services B2B (43 %) et les entreprises d’utilité publique (39 %).
« Face aux risques qui les menacent chaque jour, les entreprises recherchent des solutions de rafistolage au lieu de consolider leur dispositif de sécurité et de gestion du risque », explique Garry Sidaway, Vice-président senior Strategy & Alliances, NTT Com Security. Et d’ajouter : « au lieu de tout miser sur l’assurance, les entreprises devraient aborder le problème différemment. Si l’assurance est essentielle, il faut en effet aussi démontrer que des dispositifs de réduction des risques sont en place, tout en sachant exactement ce qu’ils recouvrent. C’est la seule façon de savoir ce qui est couvert par le contrat. Il faut aussi pouvoir démontrer que ces dispositifs sont régulièrement testés et audités. Les assureurs veulent savoir ce qu’ils assurent et connaître les mesures de réduction des risques mises en place. C’est la seule façon d’obtenir un contrat. »
Qu’en est-il en France ? Seuls 40 % des décideurs déclarent être couverts financièrement à la fois contre les pertes de données et les violations de sécurité. Et 39 % des participants affirment que leur entreprise a souscrit un contrat de cyber-assurance dédié quand 61 % déclarent n’avoir aucun contrat de ce type. 47 % des participants français pensent que toute infraction à leurs obligations de conformité pourrait invalider leur couverture ; 55 % estiment que le non-respect des politiques internes de l’entreprise pourrait invalider leur couverture, contre 46 % pour l’ensemble des sondés. 51 % estiment que l’absence de plan d’intervention sur incident pourrait invalider leur couverture, contre 43 % pour l’ensemble des sondés.
MéthodologieL’étude a été Réalisée par Vanson Bourne pour NTT Com Security, l’étude a été menée durant les mois d’octobre et novembre 2015. 1 000 décideurs (hors fonction IT) ont été interrogés aux Etats-Unis, au Royaume-Uni, en Allemagne (200 dans chaque pays), ainsi qu’en France, Suède, Norvège et Suisse (100 dans chaque pays). Ils appartenaient à des structures de plus de 500 salariés, exception faite de la Norvège, la Suède et la Suisse (250 salariés minimum). L’étude était soumise à un seuil minimum de participants travaillant dans le secteur financier (au moins 50 au Royaume-Uni, aux États-Unis, en France et en Allemagne, et au moins 30 dans les autres pays).
