Les risques de cyberattaques sont sous-assurés en Europe

Malgré une sensibilisation aux cyber-risques de plus en plus importante et, ces dernières années, des investissements toujours plus conséquents dans la cyber-sécurité, beaucoup d'entreprises font encore l'impasse sur l'assurance assujettie à ce domaine. Un phénomène qui s'observe surtout en Europe, selon le rapport 2018 sur la sous-assurance dans le monde réalisé par Lloyd's, spécialiste britannique du marché de l'assurance et de la réassurance, en collaboration avec le cabinet de conseil CEBR (Centre for Economics and Business Research).

L'étude indique que, pour la seule année 2017, les attaques informatiques ont coûté aux entreprises entre 445 milliards de dollars et 608 milliards de dollars environ dans le monde. Si l'Europe affiche un taux moyen de pénétration de l'assurance classique (2,9%) légèrement supérieur à la moyenne des 43 pays analysé par Lloyds (2,1%), elle présente, en contrepartie, un taux de couverture en assurance cyber inférieur à ceux d'autres économies développées.

« Lorsqu'il s'agit de cyber-assurance, les niveaux d'engagement varient selon les endroits du globe. Par exemple, le marché de l'assurance en cyber-sécurité est beaucoup plus mature aux Etats-Unis notamment en raison du fait que 46 des 50 états américains ont des exigences réglementaires concernant la violation des données », explique Lloyd's dans son rapport.

Ainsi, aux Etats-Unis, le taux d'adhésion à l'assurance cyber était de 55% en 2016, tandis qu'au Royaume-Uni et en Allemagne, ils étaient respectivement de 36% et 30%. Lloyd's argue que le faible taux de recours à l'assurance cyber en Europe en 2017 était dû en grande partie à l'absence de réglementations strictes, avant l'introduction du règlement général sur la protection des données (RGPD), entré en vigueur en mai dernier.

Un risque sous-estimé

Cette situation de « sous-assurance » des cyber-risques pourrait affaiblir la capacité de l'Europe à faire face à des menaces croissantes, fait valoir le Lloyd's, qui prêche pour sa paroisse. Le spécialiste de l'assurance considère que ces risques sont négligés par les entreprises à cause du manque de compréhension de la cyber-menace. Selon 77% des acteurs du secteur de l'assurance, l'une des principales raisons pour lesquelles les potentiels acheteurs décident de ne pas souscrire une assurance est qu'ils ne connaissent pas les risques auxquels ils s'exposent.

« Les données récentes du marché révèlent clairement un manque de prise de conscience », souligne le rapport de Lloyd's.

Pourtant, quelques chiffres devraient inciter à la réflexion. Le rapport, qui s'appuie notamment sur une étude d'Ipsos MORI, cite en exemple le Royaume-Uni, où près de la moitié des entreprises (46%) ont affirmé avoir déjà constaté, au moins une fois, une violation de données ou une attaque affectant la cyber-sécurité durant l'année 2017. Les moyennes (66%) et les grandes entreprises (68%) sont les plus touchées. En France, une étude du cabinet de conseil et d'audit PwC, publiée fin 2017, avait également estimé les pertes financières des entreprises françaises liées aux cyberattaques à 2,25 millions d'euros en moyenne, en hausse de 50% en un an.

Le RGPD devrait changer la tendance

Mais avec l'entrée en vigueur du RGPD le 25 mai dernier 2018, qui impose de nouvelles obligations de notification des violations de données personnelles, la demande d'assurance contre les cyber-risques devrait augmenter en Europe, analyse Lloyd's, qui rappelle que les entreprises ne se conformant pas à la législation s'exposent à des amendes allant jusqu'à 20 millions d'euros ou même 4% du chiffre d'affaires mondial annuel.

Un sondage OpinionWay pour le CESIN, publié en janvier 2018, avait montré l'intérêt grandissant pour l'assurance contre les cyber-risques en France. En effet, 40% des entreprises interrogées affirmaient avoir souscrit une cyber-assurance en 2017 et 22% envisageaient de le faire. Deux catégories d'acteurs étaient toutefois surreprésentées : les grands groupes et les entreprises de tailles intermédiaires (ETI), qui restent les plus sensibilisés aux problématiques du risque d'attaque informatique.

(Source)