Quels sont les prérequis pour se cyber-assurer ?
Le marché de l'assurance cyber pénètre toujours plus le tissu économique français. En 2024, le nombre d'entreprises de taille moyenne ayant souscrit une assurance cyber a augmenté de 33% selon le dernier rapport de l'Association pour le management des risques et des assurances de l'entreprise (AMRAE) consacré à l'assurance cyber. Les entreprises de taille moyenne sont celles qui ont un chiffre d'affaires compris entre 10 et 50 millions d'euros. Quant aux souscriptions des entreprises de taille intermédiaire (ETI), celles-ci ont bondi de 32%, observe l'organisation professionnelle qui réunit les acteurs majeurs de l'assurance.
Toutefois, de nombreuses entreprises ne parviennent pas à souscrire une telle assurance, observe Laurent Brodu, courtier en assurances chez Colbert groupe : "Sur mes 90 dernières demandes de souscription transmises aux assureurs, une quinzaine ont été refusées". "Une assurance cyber refuse de couvrir une entreprise quand elle estime que le niveau de sécurité de son système d'information est trop faible ou que les risques de la couvrir sont trop importants", précise Sylvie Jonas, avocate spécialisée en la matière. Avant d'engager les démarches nécessaires pour souscrire une assurance cyber, une entreprise doit donc vérifier qu'elle est conforme aux attentes des assureurs.
Des critères en fonction du chiffre d'affaires
Les critères minimums que les entreprises doivent remplir dépendent en grande partie de leur chiffre d'affaires. Cependant, certains sont des prérequis communs à toutes. "A minima, à partir des très petites entreprises, il est impératif d'avoir un antivirus et un mécanisme de sauvegardes. D'autres critères peuvent s'ajouter : certains assureurs veulent que les accès à distance soient fortement sécurisés, d'autres que des programmes de prévention, comme des campagnes de phishing, soient mis en place", observe Arnaud Gressel, président de Resco Courtage, une entreprise spécialisée dans le courtage d'assurances cyber. Cela inclut notamment "la possession d'un endpoint detection and response, le test régulier des sauvegardes et le déploiement de l'authentification multifacteur", ajoute Sylvie Jonas.
Toutefois, les critères d'assurabilité ont tendance à s'assouplir pour les entreprises qui ont un chiffre d'affaires de moins de 50 millions d'euros, affirme Arnaud Gressel : "Aujourd'hui, les conditions de souscription s'allègent pour les très petites, petites et moyennes entreprises. Cela s'explique par une amélioration de la sinistralité et une concurrence plus vive au sein du marché de l'assurance cyber. De nouveaux acteurs de l'assurance sont arrivés, dont des pure players, et ceux-ci utilisent des scans de vulnérabilité pour alléger les enquêtes sur les entreprises souhaitant souscrire." Résultat : certains assureurs se basent uniquement sur les résultats de ces scans pour couvrir ou non les très petites, petites ou moyennes entreprises (PME). Il en va ainsi de Stoïk, assurance lancée en 2021 et spécialisée dans le risque cyber des PME et ETI. "Pour une PME, si les résultats de notre scan externe sont positifs et ne révèlent pas qu'il est risqué de la couvrir, alors nous pouvons l'assurer tout de suite", indique même Thomas Renaud, directeur général de l'assurance.
Concernant les entreprises qui ont un chiffre d'affaires de plus de 50 millions d'euros, il en va tout autrement. En général, les assureurs leur demandent de compléter un questionnaire. Dedans, elles doivent démontrer qu'elles respectent les critères minimums requis et apporter des précisions sur leur gestion du risque cyber : "L'assureur veut notamment savoir si elles possèdent un responsable de la sécurité des systèmes d'informations, si elles effectuent des audits de son système d'information, des tests d'intrusion, etc.", énumère Arnaud Gressel. En outre, de plus en plus d'assureurs exigent la mise en place de plans de continuité d'activité et de reprise d'activité, observe Laurent Brodu. "On s'intéresse à ces documents car ils démontrent que l'entreprise qui les a adoptés a déjà réfléchi à la manière d'atténuer les effets des risques cyber", indique Thomas Renaud.
Des critères en fonction de la nature de l'entreprise
L'assureur s'intéresse aussi à l'activité de l'entreprise pour connaitre son exposition aux risques. "On sait en amont que certaines activités trop risquées ne peuvent pas être assurées, comme celles liées à des mouvements d'argent, à la monnaie numérique, au bitcoin", précise Franck Marconnet, directeur général délégué de Foliateam, société de conseil en cybersécurité partenaire de Colbert groupe. Quant aux autres activités, leur nature est aussi prise en compte pour adapter les critères d'assurabilité selon Arnaud Gressel : "Par exemple, plus une entreprise stocke des données et plus elle est exposée à des risques importants en cas de cyberattaque. Dans ce cas, l'assureur peut exiger certains prérequis techniques supplémentaires pour s'assurer que les données sont fortement sécurisées".
Le modèle économique de l'entreprise peut aussi faire l'objet d'une analyse, explique Thomas Renaud : "Plus l'entreprise a un chiffre d'affaires élevé et plus on creuse la réalité de l'activité. Prenons l'exemple de deux entreprises qui ont le même secteur d'activité, la même taille et le même chiffre d'affaires. L'une a des délais de livraison de 48 heures et l'autre de deux mois. Un ransomware qui va s'étendre sur trois ou quatre semaines aura plus d'impact dans la première entreprise que dans la seconde : l'une connaitra une perte de chiffre d'affaires massive tandis que pour l'autre les pertes seront quasiment nulles si l'effort a été fait pour relancer l'activité. Aussi, on regarde si l'entreprise peut compter sur d'autres sites de production ou sur de la sous-traitance facilement mobilisable pour maintenir son activité."
Un accompagnement possible vers l'assurabilité
Les entreprises qui ne sont pas conformes aux prérequis des assureurs peuvent néanmoins bénéficier de l'accompagnement de courtiers qui les guideront vers l'assurabilité. C'est par exemple le cas de Resco Courtage mais aussi de Colbert groupe grâce à son partenariat avec Foliateam. Celui-ci permet aux clients de Colbert groupe de bénéficier de conseils techniques pour parvenir à être assurés.
Certains assureurs comme Stoïk offrent aussi la possibilité à des entreprises encore peu matures d'accéder au moins à une garantie minimale : "On explique à nos courtiers partenaires que leurs clients peuvent venir nous voir comme ils sont afin de mettre en place avec eux un chemin vers l'assurabilité. On est pragmatique : si leur maturité cyber n'est pas optimale mais qu'ils se dotent d'un endpoint detection and response, on pourra leur attribuer un premier rideau de protection et on construira avec eux, étape par étape, l'accès au contrat intégral."
Quant aux prix des assurances cyber, "ils ne constituent pas un frein", martèle Arnaud Gressel. "Grâce à l'amélioration de la sinistralité et une plus grande concurrence, le tarif de la prime d'assurance a baissé de 18 à 20% l'année dernière." Selon l'étude de l'AMRAE, une entreprise moyenne souscrit une couverture d'environ 1,8 million d'euros avec une franchise de 18 000 euros pour une prime de 7030 euros. Pour une petite entreprise, la couverture sera en moyenne de 955 000 euros avec une franchise de 8 000 euros pour une prime de 1 500 euros.