BFM Business

Comment Generali assure les TPE et PME contre les cyber-risques

Les TPE et PME sous-estiment leur exposition au risque numérique : elles ne sont qu'un tiers à être conscientes d'y être exposées.

Les TPE et PME sous-estiment leur exposition au risque numérique : elles ne sont qu'un tiers à être conscientes d'y être exposées. - Philippe Huguen-AFP

Tous les assureurs lorgnent le marché, encore naissant, du cyber-risque alors qu'une réglementation européenne imposera en 2018 de nouvelles obligations aux entreprises sur la protection des données qu'elles gèrent.

Les assureurs anticipent une demande encore naissante des PME pour des contrats couvrant les conséquences pécuniaires d'une attaque informatique. Précédé par plusieurs de ses rivaux (Axa, Allianz, GAN,...) sur la protection du cyber-risque, Generali se distingue par une offre en association avec Europe Assistance pour la gestion de crise et Engie Ineo pour l'intervention technique sur les systèmes d'entreprise infectés ou bloqués.

L'assureur s'appuie sur une sous-estimation du risque numérique et de la cyber-criminalité par les TPE et PME pour justifier son entrée sur le marché avec une offre globale. Seule une entreprise sur trois se dit consciente d'être exposée au risque numérique, selon une enquête qu'il a commanditée à l'IFOP en 2016 auprès de 410 TPE et PME de moins de 250 salariés.

"Avec des logiciels ransomware peu coûteux, les pirates exigent une rançon pour mettre fin au blocage de l'informatique qu'ils ont provoqué. La cyberdélinquance a trouvé là un modèle économique très rentable. D'où la hausse exponentielle de ce type d'attaque" explique Laurent Saint-Yves, responsable cyber-sécurité chez Engie Ineo.

Un règlement européen changera la donne en 2018

Une réglementation européenne applicable en 2018 va aussi bouleverser la donne. Elle imposera de nouvelles obligations à toute entreprise lorsque celle-ci est victime d'un piratage informatique affectant les données qu'elle gère. Seules 17% des entreprises sondées par l'IFOP seraient au courant du futur règlement général sur la protection de données (RGPD). Adopté en 2016, ce texte européen, applicable en mai 2018 dans tous les pays de l'Union, obligera les entreprises à signaler à leur régulateurs (la CNIL en France) les cyber-incidents dans les 72 heures sous peine de risquer jusqu'à 20 millions d'euros d'amende ou 4% de leur chiffre d'affaires. 

"Les entreprises victimes d'un vol de données personnelles devront avertir toutes les personnes concernées, salariés ou clients, avec un risque non-négligeable de litige ou de poursuite. Aux États-Unis, le coût unitaire de cette notification atteint 13 dollars. Donc, la facture peut s'élever très vite" souligne Bernard Duterque, directeur de la souscription des risques spécialisés chez Generali France.

La perte d'exploitation est couverte jusqu'à 1 million d'euros

Sa nouvelle offre d'assurance contre les cyber-risques pour PME et TPE associe les plateformes de prise d'appels en 24/7 d'Europ Assistance en y ajoutant un volet gestion de crise et les experts sécurité d'Engie Ineo. Ses techniciens sont censés télé-intervenir à distance dans l'heure qui suit le signalement par l'entreprise de la cyber-intrusion dont elle a été victime.

Les conséquences pécuniaires de l'incident sont aussi prises en charge, moyennant une prime annuelle d'environ 1000 euros, jusqu'à leur impact économique sur l'activité de l'entreprise. La perte d'exploitation induite par une cyber-attaque est indemnisée jusqu'à un plafond d'un million d'euros.

En revanche, les "arnaques au président" qui affectent beaucoup de PME, en usurpant par email ou téléphone l'identité d'un dirigeant pour se faire remettre des données ou des virements d'argent, ne sont pas couvertes par le contrat. "Les moyens technologiques utilisés ne sont qu'un support technique à ce type de fraude qui peut être couverte par une autre assurance" explique-t-on chez Generali.

Frédéric Bergé
https://twitter.com/BergeFrederic Frédéric Bergé Journaliste BFM Éco