Nouvelle étude FM Global : l’assurance cyber pourrait donner un sentiment de sécurité trompeur aux directeurs financiers des plus grandes entreprises mondiales

Pour 71 % d’entre eux, leur assureur couvrirait la majorité, voire la totalité, des pertes en cas de cyber-attaque, alors même que certains types de pertes ne sont pas assurables

Selon une enquête menée pour le compte de FM Global,l’un des leaders mondiaux de l’assurance dommages, 45 % des directeurs financiers interrogés pensent que leur assureur couvrirait « la majorité » des pertes liées à une cyber-attaque, et 26 % s’attendent à ce qu’il couvre « la totalité » de ces pertes. Ces données ont été recueillies par CFO Publishing,éditeur de l’une des principales publications destinées aux cadres de direction financière, auprès des plus hauts responsables financiers de 105 entreprises dont le chiffre d’affaires mondial est supérieur à 1 milliard de dollars.

Or, selon FM Global, une grande partie des répercussions d’un événement cyber majeur n’est généralement pas couverte par une police d’assurance, notamment les éléments suivants :

La septième réponse proposée aux sondés, « Dépenses à engager pour limiter les pertes », a été choisie par 53 % d’entre eux. Certes, une grande partie de ces dépenses, y compris celles engagées pour restaurer des données ou réparer des équipements, serait couverte par une police cyber ou dommage aux biens. Les dépenses de contentieux et de notification des clients seraient quant à elles couvertes par l’assurance responsabilité civile. Mais les autres types de dépenses mentionnés dans l’enquête resteraient probablement à la charge de l’entreprise sinistrée. En outre, plus de la moitié des personnes interrogées estime que plusieurs mois, voire plusieurs années, seraient nécessaires pour rétablir l’équilibre financier à la suite d’un événement cyber de grande ampleur.

Pertes financières globales : une réalité à anticiper

« De toute évidence, une assurance cyber est essentielle. Mais les conclusions de notre enquête indiquent que les hauts responsables financiers pourraient en tirer un sentiment de sécurité trompeur », explique Kevin Ingram, vice-président exécutif et directeur financier de FM Global. « Même si l’assurance est une composante essentielle de toute stratégie de gestion des risques, elle ne peut pas couvrir certains types de pertes liées à une cyber-attaque, comme les dommages causés à la réputation d’une entreprise, la perte de parts de marché, le ralentissement de la croissance, la baisse de la valeur d’entreprise, ou la hausse du coût du capital. C’est pourquoi nous nous engageons en amont auprès de nos clients, pour les aider à éviter tout sinistre cyber. »

Pour réduire le risque cyber et prévenir les dommages aux biens, FM Global met en œuvre une approche fondée sur l’ingénierie. Ses services d’évaluation des cyber-risques identifient les vulnérabilités dans trois domaines clés : contrôle des accès, sécurité de l’information, et systèmes de contrôle-commande industriels et de gestion technique de bâtiment.

 

[1]La police d’assurance couvrirait certainement les pertes d’exploitation subies pendant la période d’interruption des activités, mais les pertes de revenus dues au ralentissement de la croissance de l’entreprise, à la perte de parts de marché et de valeur de la marque, etc., après la reprise des activités ne sont généralement pas indemnisées.