« Le rapport établit sur bien des aspects un diagnostic que nous partageons et apporte plusieurs réponses concrètes à des enjeux importants pour la cybersécurité des entreprises aujourd’hui. En particulier, le constat d’un manque de maturité des petites entreprises vis-à-vis du risque cyber et du besoin impérieux de développer la prévention – deux points sur lesquels le rapport met l’accent – fait partie de nos chevaux de bataille depuis plusieurs années et était au cœur de notre dernier Rapport sur la gestion des cyber risques. Pas moins de 42 % des TPE et PME françaises s’estiment encore novices en matière de cybersécurité, ce qui accroît considérablement la menace. Plus largement, tout ce qui peut contribuer au développement, à la structuration et à la consolidation des filières de la cyber sécurité et de la cyber-assurance nous paraît aller dans le bon sens.

En ce qui concerne la proposition d’interdire aux assureurs de couvrir le paiement des rançons, nous comprenons évidemment sa légitimité et n’y sommes pas complètement opposés – nous plaidons depuis longtemps pour un développement de la législation permettant d’aligner le marché sur la question –, mais c’est une décision qui doit absolument s’accompagner d’une politique de cyber sécurité forte et d’un effort majeur en termes de prévention et d’accompagnement des entreprises si l’on veut éviter de mettre ces dernières le dos au mur, notamment les petites structures. Contrairement aux idées reçues, la couverture d’une rançon, loin d’être généralisée, n’arrive qu’en dernier recours lorsque la pérennité de l’entreprise est en jeu et qu’il n’existe pas d’autres alternatives que de payer ou faire faillite. Ce risque peut être limité par la mise en place d’un haut de niveau de sécurité, tel que nous l’exigeons chez Hiscox de nos clients lorsqu’ils souscrivent à une garantie cyber (au total, moins de 5 % de nos indemnisations cyber, en Europe, sont liés au remboursement du paiement de rançons), mais il n’est pas nul. »