Cyber Assurance : Lumière sur la relation RSSI & Assureur
En collaboration avec le CESIN, nous publions Le Baromètre 2024 de la Relation RSSI x Cyber Assureurs, fruit d’une enquête menée auprès des RSSI membres du CESIN, afin de comprendre quelles sont les composantes de cette relation spéciale et ses voies d’amélioration.
Parmi les chiffres clé que vous retrouverez dans l’étude :
- Un score global de satisfaction des RSSI vis-à-vis des assureurs de 5,9/10.
- 49% des RSSI considèrent les recommandations des assureurs pertinentes, tandis que 46% les mettent en œuvre pour améliorer leur assurabilité.
- Une insatisfaction persistante sur l’indemnisation post-sinistre, avec 40% des RSSI estimant que l’indemnisation ne répond pas aux attentes de leur organisation.
La nécessité d’un langage commun, rendu possible par la quantification financière du risque : un levier pour créer une relation de confiance entre les RSSI et leurs assureurs ?
Retour sur les conclusions de cette étude.
L’assurance cyber est encore en quête de maturité
Selon Xerfi, l’assurance cyber peine à s’imposer sur le marché français et représente moins de 1% de l’assurance des risques d’entreprise en France. Les entreprises qui souscrivent à ce type d’assurance sont principalement des grandes entreprises, les PME et les ETI étant plus rarement concernées du fait d’un manque de sensibilisation concernant le risque cyber, mais également des difficultés à se rendre assurable.
Cette observation révèle le fait que le marché français de l’assurance cyber reste en quête de maturité. Pour l’ensemble de la filière, il est nécessaire de trouver un levier pour le déverrouiller et ainsi voir de plus en plus d’entreprises de toutes tailles en route vers l’assurabilité, ce qui garantira la résilience collective de nos organisations face au risque cyber.
Les RSSI souhaitent une meilleure compréhension de leurs risques
Les RSSI interrogés dans le cadre de notre étude attribuent une note de 5,9/10 à la relation qu’ils entretiennent avec leur assureur cyber. Cela démontre que des progrès ont été faits, mais qu’il en reste encore à mettre en place pour que cette relation d’affaire se transforme en une relation de confiance.
Parmi les attentes exprimées des RSSI, on retrouve en premier lieu la compréhension mutuelle du risque (44% des répondants). En effet, c’est aussi ce qui ressort des témoignages que nous avons recueillis dans le cadre de l’étude : les RSSI peinent à faire confiance aux processus de souscriptions actuels. Si aujourd’hui l’évaluation du risque par l’assureur se fait principalement sur la base de questionnaires, ceux-ci semblent peiner à refléter la réalité opérationnelle des organisations et donc remettre en cause une évaluation fine du risque.
Du côté des entreprises, on constate que 36% d’entre elles s’appuient sur des résultats de d’audits pour communiquer avec leurs assureurs, tandis que 20% ont recours à des analyses qualitatives type Ebios RM et 17% à des solutions de scoring. Ces méthodes montrent aujourd’hui des limites pour évaluer précisément le niveau d’exposition de l’entreprise au risque cyber.
Les RSSI interrogés espèrent une harmonisation et une standardisation des méthodes d’évaluation afin d’améliorer la pertinence des analyses de risque.
Des progrès sont attendus sur l’indemnisation et la compréhension des garanties
Si la phase de souscription reste complexe, le baromètre révèle que les tensions se cristallisent aussi sur la compréhension des garanties et l’indemnisation. En effet, 60% des RSSI estiment que les indemnisations ne correspondent pas aux attentes de leur entreprise, soulignant un besoin d’alignement plus précis entre les garanties proposées et les réalités des sinistres.
Cet écart révèle un manque de communication entre les deux parties sur les garanties. Généraliser la réalisation d’ateliers de mise en pratique de la police d’assurance en cas de sinistre est une bonne pratique que nous avons observé chez certains de nos clients et qui pourrait permettre d’aligner les attentes en termes d’indemnisation au cadre contractuel.
Le rôle crucial des courtiers dans la relation RSSI x Assureurs Cybers
Si la relation avec les assureurs cyber remporte une note « tiède” de la part des RSSI, la relation avec les courtiers semble être légèrement plus apaisée. Ces derniers jouent un rôle crucial dans le paysage de l’assurance cyber, en étant un intermédiaire entre assureur et assuré. Ils y participent notamment en négociant les termes du contrat et en facilitant les processus de souscription.
Grâce à ce rôle de facilitateur, leur expertise sur un monde de l’assurance perçu comme complexe est particulièrement appréciée. Il est également à noter que leur contribution active dans le processus de souscription fait gagner un temps considérable aux entreprises.
Les axes d’amélioration soulignés par le baromètre
Le Baromètre de la Relation RSSI x Assureur souligne que l’assurance cyber reste encore aujourd’hui un marché en quête de maturité, mais qui possède un grand potentiel. Afin que celui-ci se révèle, notre étude propose des axes d’améliorations. En voici quelques exemples :
- Développer un langage commun pour faciliter la compréhension du risque cyber ;
- Développer des standards partagés pour évaluer les risques de manière plus précise et nuancée ;
- Acquérir une meilleure compréhension des risques inhérents à chaque secteur d’activité afin de proposer des polices d’assurance plus adaptées ;
- Améliorer le processus de souscription ;
- Simplifier les questionnaires de sécurité.
En adoptant des approches plus pragmatiques et en collaborant étroitement avec les RSSI, les assureurs peuvent gagner en pertinence et en efficacité. Cela permettrait une meilleure protection des entreprises contre les menaces cyber.
Rejoignez notre webinar le 04 juillet 2024 pour un décryptage interactif de cette étude en présence de nos experts.