07/09/21

Cybersécurité : quels leviers activer pour développer la vente de cyber-assurance auprès des TPE PME ?

Vols de données confidentielles, ransomwares, paralysie des systèmes… le nombre de cyber-attaques ciblant les entreprises est en croissance exponentielle. Les mentions dans la presse de cyber-attaques d’envergure paralysant l’activité de grands groupes mais ayant aussi des effets destructeurs sur des entreprises de taille plus modeste sont devenues monnaie courante. Les TPE et PME ont ainsi conscience de l’existence des cyber risques mais, paradoxalement, peu d’entre elles s’équipent pour se protéger. Comment expliquer ce phénomène ? Comment les assureurs peuvent-ils mieux accompagner leurs clients et développer les ventes de cyber assurances ?

Les cyber-attaques : un risque concret et mal appréhendé par les PME et TPE

2020 : l’année de l’explosion du nombre de cyber-attaques

Dans un contexte de course au « tout digital », le risque de cyber-attaques touche de plus en plus d’entreprises en France. L’année 2020 a été marquée par une réelle explosion des actions malveillantes. A titre d’exemple, le nombre d’attaques rançongiciels, ransomwares en anglais, traitées par l’Agence Nationale de la Sécurité des Systèmes Informatiques (ANSSI) a quadruplé entre 2019 et 2020. Attaque la plus répandue, elle consiste à envoyer, généralement via des emails de phishing, un logiciel malveillant qui chiffre l’ensemble des données et demande une rançon en échange du mot de passe de déchiffrement. En 2020 près de la moitié des entreprises victimes de cette attaque ont dû verser une rançon d’une valeur de 10 818€ en moyenne.

Les conséquences des cyber-attaques peuvent être catastrophiques. Selon une étude réalisée par Hiscox en 2021, une entreprise sur six déclare avoir risqué la faillite à la suite d’une attaque. Et les grandes entreprises sont loin d’être les seules concernées. Les TPE et les PME ne sont pas à l’abri des pirates informatiques. Ce sont des proies faciles car elles ne disposent pas toujours d’équipes informatiques ou de compétences suffisantes pour assurer une bonne cybersécurité. De plus, les cibler s’avère rentable car les dirigeants des PME et TPE sont souvent prêts à payer les rançons demandées par manque d’expérience, d’accompagnement ou par besoin d’un retour à la normale rapide de l’activité.

Un sujet complexe, mal appréhendé par les TPE et PME

En 2020, les TPE PME équipées de contrats d’assurance cyber font figure d’exception. D’après une étude de l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE) réalisée en 2020, seules 362 PME françaises réalisant entre 10 et 50 millions d’euros de chiffre d’affaires ont souscrit à une assurance cyber auprès de leur courtier – un chiffre sans commune mesure avec la couverture des grandes entreprises. Cette proportion est sans doute sous-estimée car les TPE et PME peuvent aussi souscrire ce type de garanties auprès d’un agent général d’assurance, ou d’un courtier de proximité autre que ceux répondant à l’étude, mais il permet pour autant de dresser une tendance.

Cabinet de conseil assurance VERTONE cyber assurance
Taux de couverture des cyber assurances par taille d’entreprise (Source AMRAE)

Plusieurs raisons peuvent expliquer la faible souscription des TPE et PME aux contrats cyber :

  • Le manque de connaissance des TPE et PME sur le sujet, le vocabulaire technique, l’opacité de l’information et la multiplicité des offres existantes sur le marché font de la cybersécurité un sujet peu maîtrisé et complexe à appréhender par les TPE et PME ;
  • La faible conscience des risques et des potentiels dommages crée de la réticence à souscrire à une solution de cyber-assurance. Les dirigeants de TPE et PME ont alors un faible sentiment d’exposition en comparaison des grandes entreprises et ne pensent pas à s’équiper en prévention d’une cyber-attaque ;
  • Le sentiment d’être trop petit pour être la cible de hackers, sans réaliser que ces derniers peuvent avoir une approche industrielle des attaques sans cible a priori ;
  • Le coût de souscription à une cyber-assurance peut sembler élevé pour de nombreuses TPE et PME dont les budgets et le temps alloués à la cybersécurité sont restreints. Pourtant, si l’on compare le prix d’une assurance aux éventuels coûts et conséquences d’une cyber-attaque, le ratio s’avère intéressant – et soulève a minima la question de la pertinence économique de s’équiper ;
  • Le manque de proactivité de la part des assureurs à évoquer ce sujet fait que les clients ne considèrent pas cet enjeu prioritaire. Que ce soit par manque de temps lors d’un rendez-vous ou par manque de maîtrise du produit, rares sont les conseillers qui évoquent spontanément le sujet ;
  •  L’idée préconçue que la cybersécurité peut être garantie à travers le contrat de responsabilité civile professionnelle est répandue. Or, même si cette assurance peut couvrir certains risques, elle ne remplacera pas les solutions offertes par une cyber-assurance dédiée.

Ainsi, bien que le taux de couverture des PME ait progressé de 16,3% entre 2019 et 2020 (source : rapport LUCY, AMRAE, 2021), il reste extrêmement faible au regard de la taille du marché des TPE et PME et des risques auxquels elles sont exposées.

Développer la souscription des cyber-assurances des PME et TPE

Une première étape essentielle : faire preuve de pédagogie pour déclencher la prise de conscience 

Avant de chercher à vendre un produit de cyber-assurance, l’enjeu pour un assureur (ou tout acteur proposant ce type de produit) est d’accompagner son client dans une meilleure compréhension des enjeux et risques auxquels il est exposé pour provoquer une prise de conscience chez ce dernier, l’aider à mieux comprendre ses besoins, pour in fine lui proposer une solution assurantielle lorsqu’il souhaitera s’assurer.

Cet accompagnement pourra se traduire par une multiplication des opportunités de contact avec le client. Concrètement, plusieurs moyens sont à la disposition des assureurs :

  • Mettre en place une plateforme digitale dédiée à la problématique des cyber-risques, proposant une approche didactique sur cette thématique, trop souvent traitée sous un angle technique et anxiogène : explications pédagogiques des différents types de cyber-attaques et risques auxquels les entreprises sont exposées en fonction de leur secteur d’activité, outils et simulateurs permettant par exemple d’identifier son niveau d’exposition aux cyber-risques ou de mesurer l’impact financier d’une attaque, interviews de responsables de TPE PME ayant subi une attaque pour pouvoir mieux se projeter, ou encore vidéos de hackers expliquant leurs méthodes d’attaques de façon simplifiée (à l’image de la Hack Academy, initiative entreprise par le CIGREF) ;
  • Communiquer de façon soutenue auprès des clients pour à la fois leur faire prendre conscience de l’existence de ce type de risque, mais également pour être présent dans leur esprit le jour où ils souhaiteront passer à l’action. Cette communication pourra prendre la forme de newsletters communiquant sur des thématiques spécifiques, pour créer une récurrence de contact, ou encore de webinaires pour mettre en relation clients et entreprises spécialisées dans les cyber-attaques ;
  • Développer des outils avancés permettant de réaliser un diagnostic poussé des failles potentielles de l’entreprise, tel que le fait l’entreprise OZON, qui s’appuie notamment sur une analyse du nom de domaine ;
  • Être explicite sur la nature d’une assurance cyber, dont le contenu est en général mal appréhendé. Il est ainsi important d’expliquer que l’assurance peut permettre à la fois de mettre en place des actions de prévention pour limiter son exposition aux risques (sensibilisation des équipes), se prémunir des conséquences financières (remboursement des préjudices), mais aussi d’accompagner au traitement des conséquences (récupération des données piratées, gestion de l’image, …).

Favoriser la prévention et inciter à mettre en place des dispositifs de sécurité

Une fois la prise de conscience réalisée, une seconde étape est fondamentale avant qu’un assureur ne passe à la phase de vente d’une cyber-assurance : accompagner le client à la mise en œuvre de dispositifs préventifs.

Ces dispositifs de cybersécurité se présentent sous différentes formes, et adressent plusieurs objectifs :

  • En premier lieu, l’entreprise peut limiter son exposition directe aux risques, avec par exemple des solutions d’anti-virus, de firewall ou de filtrage de mails, ou encore des modules de sensibilisation à destination des salariés de l’entreprise ;
  • En cas de cyber-attaque, elle pourra voir sa durée d’interruption de l’activité raccourcie, si l’entreprise a mis en place des solutions de sauvegarde de données dans le cloud, qu’elle pourra facilement récupérer ;
  • Elle pourra également voir le coût de l’assurance diminuer grâce à une maîtrise des risques plus importante, et donc une exposition aux risques plus faible.

Dans une logique d’accompagnement, certains acteurs proposent des solutions clés en main pour aider les entreprises à s’équiper en dispositif préventifs. OPPENS, startup de la Société Générale, propose, par le biais d’entreprises partenaires, une cinquantaine d’outils gratuits (bonnes pratiques en matière d’hygiène informatique), mais également payants (antivirus, coffre-fort de mots de passe, services de formation et d’audit…).

L’enjeu est donc de prévenir plutôt que guérir. De cette manière, les entreprises limitent les sinistres de faible intensité et prennent la mesure d’une cyber-assurance qui prendra en effet en charge les risques résiduels.

Former le réseau à une démarche de vente sur la cyber-assurance

La vente d’un produit de cyber-assurance est une vente complexe qui doit se faire en plusieurs temps, en combinant digital et humain. Elle requiert à la fois une phase de prise de conscience et de déclic de la part de l’entreprise, mais également une phase d’accompagnement de la part de l’assureur pour affiner les besoins et présenter le contenu du produit de cyber-assurance.

Il est donc primordial que les forces de vente soient formées à vendre ce nouveau type de produit et maîtrisent une démarche de vente centrée sur la prise de conscience et le besoin client : à la fois pour être à l’aise pour parler du produit et répondre aux questions d’ordre technique, mais également pour avoir le réflexe de parler de cette thématique à chaque opportunité de contact avec une TPE PME.

Conclusion

Les thématiques du cyber-risque, de la cybersécurité et de la cyber-assurance sont ainsi intimement liées, et différents leviers s’offrent aux assureurs pour développer le business sur un secteur d’activité au potentiel immense. Au-delà des leviers évoqués, l’une des clés du succès sera alors de construire un funnel de transformation efficace, mettant en musique ces différents moyens en adressant les bons messages au bon moment, au bon profil client et via le bon canal.

VERTONE, cabinet de conseil en stratégie et marketing, a développé de nombreuses expertises sur le sujet, et pourra vous accompagner à la fois sur vos travaux de parcours client et funnel de transformation, mais également sur la montée en compétences de vos forces de vente.

Un article rédigé par Julien Levrier