Cyber-couvertures – TPE et PME, faire le bon choix !

La cybercriminalité est toujours considérée à tort comme un risque touchant uniquement les grosses entreprises.

La cyber-assurance n’est pas la préoccupation majeure des chefs d’entreprise des PME ou TPE, car bien souvent ceux-ci ont une méconnaissance de ces risques et sont bien trop loin de leurs préoccupations opérationnelles du quotidien.

Et pour ceux qui sont assurés, selon une étude récente, 89% des courtiers en assurance estiment que leurs clients ne disposent pas d’une méthode adéquate pour mesurer le coût d’une violation de données ou ne sont pas sûrs de la capacité de mesure de la violation de données de leurs clients. Ces mêmes intermédiaires en assurance ont déclaré que les clients ne pouvaient pas mesurer adéquatement l’impact potentiel d’un événement de cyber extorsion (par exemple ransomware).

De plus, 83% des répondants estimaient que leurs clients ne pouvaient pas mesurer le coût d’une cyberattaque qui interrompt le service.

Face à ces cyber-risques, il n’y a que trois choix possibles pour un chef d’entreprise : corriger, transférer ou accepter le cyber-risque.

Mais cela suppose que chaque organisation ait la capacité de les mesurer et de tracer une ligne de démarcation entre l’atténuation des risques et le transfert des risques. Ce qui n’est pas toujours le cas pour les TPE et PME.

Pour pouvoir transférer ce risque, une analyse holistique des risques doit être réalisée, comme :

  • « L’attractivité » d’une entreprise en tant que cyber cible ;
  • L’infrastructure exposée (ordinateur, smartphone, machine-outil, …) ;
  • Les dommages financiers et réputationnels potentiels qu’une cyber-attaque pourrait infliger ;
  • La « posture de sécurité » de l’organisation – c’est-à-dire à quel point celle-ci est équipée pour détecter et repousser les cyber-menaces ;
  • La capacité de l’organisation à répondre efficacement à une éventuelle violation.

 

L’intermédiaire en assurance (courtier ou agent) doit être en capacité de réaliser un vrai diagnostic et une analyse technique de premier niveau. Il se doit d’apporter des recommandations et la cyber-couverture adéquate.