Franck Marconnet, Directeur général délégué de Foliateam, et Guillaume Jossé, Co-gérant de Colbert Assurances, unissent leurs expertises pour proposer une offre conjointe de cyberassurance adaptée aux PME. Dans cet entretien croisé, ils expliquent pourquoi la plupart des petites entreprises restent encore mal protégées face aux cybermenaces et comment leur solution progressive permet d’avancer concrètement, même sans expertise technique ni gros budget.
SNC – Pourquoi la cyberassurance reste-t-elle difficile d’accès pour les PME ?
Guillaume Jossé (Colbert Assurances) – La cyberassurance, aujourd’hui, est encore majoritairement conçue pour les grandes entreprises. Les critères d’éligibilité sont souvent trop élevés pour des PME ou des TPE, qui se retrouvent exclues simplement parce qu’elles n’ont pas mis en place certaines mesures de sécurité informatique. Or ces structures n’ont ni les ressources humaines ni les moyens financiers pour se doter d’un service informatique complet. Elles peuvent avoir un prestataire ou un informaticien, mais ce n’est pas suffisant pour répondre aux exigences du marché assurantiel.
Franck Marconnet (Foliateam) – Sur le terrain, on observe clairement que les freins sont multiples. Il y a d’abord un frein technique, avec des systèmes pas toujours à jour, des procédures de sécurité incomplètes, ou des outils mal configurés. Ensuite, il y a un frein culturel : beaucoup d’entreprises considèrent encore que « ça n’arrive qu’aux autres ». Elles sous-estiment leur exposition, jusqu’au jour où l’incident survient. Enfin, il y a évidemment la question du coût : les offres de cyberassurance traditionnelles sont perçues comme chères, et sans accompagnement concret, ça ne parle pas aux PME.
G. J. – Il y a aussi un vrai problème de pédagogie. Les dirigeants ne comprennent pas forcément les questionnaires techniques à rallonge qu’on leur soumet. Ils n’ont pas la traduction de ce que l’on attend d’eux, ni les outils pour s’adapter. Résultat, ils abandonnent souvent avant même d’avoir tenté de s’assurer. Et c’est là qu’on a voulu intervenir avec cette approche conjointe.
SNC – Comment est née cette collaboration entre Foliateam et Colbert Assurances ?
F. M. – Ce partenariat est né d’un constat partagé sur le terrain. En tant qu’intégrateur IT, on accompagne des PME depuis des années, et on voyait bien qu’en matière de cybersécurité, elles étaient seules. Colbert, de son côté, constatait les mêmes limites côté assurance. On s’est dit : pourquoi ne pas créer une démarche conjointe, avec un vrai accompagnement technique en amont et une couverture assurantielle en aval ? Pas juste un audit, mais un parcours complet, progressif et accessible.
G. J. – L’idée, c’était de ne plus proposer la cyberassurance comme un produit standard, un peu déconnecté de la réalité de l’entreprise. On voulait sortir du modèle « tu coches des cases et tu as une prime »… alors qu’en réalité, les entreprises ne cochent pas les cases et ne sont donc pas assurables. Le but était de travailler ensemble, de manière coordonnée, pour créer un cadre lisible, pédagogique et évolutif.
SNC – Pouvez-vous nous expliquer concrètement le parcours proposé par votre solution commune ?
G. J. – On a structuré un parcours en quatre étapes très claires. La première, c’est l’audit : on établit un cyberscore de l’entreprise, un état des lieux. Ensuite, il y a un accompagnement personnalisé avec un plan d’action adapté. Ce n’est pas juste du conseil : on agit, avec des briques concrètes. Puis, quand l’entreprise atteint un certain niveau de protection, on peut déclencher la couverture assurantielle. Et en cas d’incident, on prévoit un accompagnement en gestion de crise. C’est un tout.
F. M. – Et ce qui est innovant, c’est l’indice de protection. On l’a voulu simple et progressif : 25, 50, 75, 100. Ça donne un repère. Une PME n’est pas obligée d’être à 100 tout de suite. Ce qui compte, c’est d’être dans une démarche de progression. L’indice permet d’évaluer, de suivre, et surtout de rassurer : l’entreprise sait où elle en est.
SNC – Qu’est-ce que cette solution change concrètement pour une PME ? Avez-vous des retours terrain ou des cas d’usage à partager ?
F. M. – Ce qui change vraiment, c’est que la PME comprend enfin ce qui bloque. Elle n’a plus un audit abstrait, mais une cartographie claire de ses failles, avec des actions concrètes. On met en œuvre des solutions techniques, on fait monter l’entreprise en maturité, et ça la rend assurée – ou assurable. Et puis, elle sait qu’en cas de coup dur, elle a un plan de gestion de crise, un numéro à appeler, une équipe derrière. C’est sécurisant.
G. J. – On a vu des entreprises qui, après ce parcours, non seulement obtiennent une couverture, mais aussi négocient mieux leur contrat. Elles comprennent ce qu’elles paient, pourquoi, et surtout, elles perçoivent mieux leur exposition réelle au risque. C’est un vrai changement culturel. Il y a moins de déni, plus de responsabilisation.
F. M. – Et ce n’est pas qu’une question de budget. Beaucoup de PME sont prêtes à investir, mais elles ne savent pas où ni comment. Là, elles ont un cadre, un parcours, un interlocuteur unique. C’est ce qu’on a voulu apporter avec cette démarche conjointe.
SNC – Est-ce que les choses évoluent côté marché et réglementation ? Que faudrait-il pour que la cyberassurance devienne plus accessible aux PME ?
G. J. – Il y a un mouvement, oui. La réglementation pousse dans le bon sens : la directive NIS2 par exemple, ou la future loi sur la cybersécurité. Mais ça ne suffit pas. Il faut que les assureurs, les prestataires IT, les pouvoirs publics et les entreprises apprennent à se parler. Ce qu’on voit aujourd’hui, c’est que les PME sont souvent seules face à un jargon technique ou des exigences inatteignables. Il faut de la pédagogie, de la simplicité.
F. M. – Exactement. Il y a un vrai travail de simplification à faire. Quand on parle à un dirigeant de PME, on doit lui parler concret, pas lui demander tout de suite des certifications ou des audits complexes. L’idée, c’est d’embarquer les entreprises progressivement. Notre solution, elle va dans ce sens.
G. J. – Et il faut aussi que les acteurs arrêtent de travailler en silo. Nous, on croit beaucoup à l’approche partenariale. L’assureur seul ne peut rien faire, le prestataire IT non plus. Il faut des ponts, des offres intégrées. C’est ce qu’on essaie de construire.
SNC – Un mot à adresser aux PME qui pensent encore que « la cyber, ce n’est pas leur problème » ?
F. M. – La question, ce n’est plus si elles vont être attaquées, mais quand. Et surtout, dans quel état elles seront pour y faire face. La prévention, ça se travaille en amont.
G. J. – On ne peut plus rester dans le déni. Même une petite entreprise a des données critiques, une activité qui repose sur le numérique. L’important, c’est de commencer, même modestement, et de s’entourer des bons partenaires.
