Cyber-assurance pour les PME : pourquoi devient-elle incontournable ?

Dernière mise à jour :

Au début du XXème siècle, personne ne s’assurait contre les accidents de la route. Alors qu’aujourd’hui, l'assurance auto est une évidence pour tous les conducteurs. En sera-t-il de même pour l'assurance cyber ? Aujourd’hui, les cyberattaques se classent en première position des risques des entreprises. Les hackers malveillants causent de lourdes pertes et peuvent mener une entreprise à la faillite, tant les conséquences financières, techniques, réputationnelles et juridiques d’une cyberattaque se révèlent parfois graves.

assurance cyber PME

La cybersécurité : un enjeu de survie pour les PME

Les cyberattaques peuvent détruire une PME 

Auparavant, les pirates ciblaient les grandes entreprises. Mais aujourd'hui, les hackers malveillants attaquent des systèmes informatiques vulnérables, ce qui inclut les hôpitaux, ministères, collectivités, mairies… mais aussi les PME.

Exemple avec MilEclair, une entreprise de nettoyage de locaux industriels.

"Nous avons été victimes d’un ransomware il y a quelques années : nous avons perdu deux ans et demi de travail sur notre dossier de certification ISO 9001 !”, racontait Stéphanie Pauzat, présidente de l’entreprise qui emploie 500 salariés et totalise 8,5 millions d’euros de chiffre d’affaires (citée par le Journal des Entreprises).

Parfois les conséquences se révèlent fatales…

“Mes fichiers clients et fournisseurs, et ceux de la comptabilité, sont cryptés et inutilisables. Je ne peux pas continuer sans ces fichiers ni repartir à zéro”, regrettait André Thomas, en 2017, l’ancien dirigeant de Clermont Pièces, une TPE de Clermont Ferrand qui vendait de l’électroménager (cité par la Montagne). Il a dû fermer boutique après une cyberattaque. Il avait racheté la société avec son fils en 2012. “Il aurait peut-être fallu prévoir des sauvegardes en ligne sur des sites protégés. Ce n'était pas mon métier, je n'y ai pas pensé”, témoignait le dirigeant. 
Le saviez-vous ?
Les assurances responsabilité civile professionnelles ne couvrent pas les attaques cyber. Et certains chefs d’entreprises le découvrent après l’attaque et une fois les dégâts causés.

Des chiffres pour saisir l’ampleur du phénomène

Au-delà des exemples, le risque cyber est bien un enjeu global de survie pour les PME. 

60% des entreprises déposent le bilan dans les six mois après une cyberattaque (enquête CCI IdF, 2020). Et le chiffre monterait même à 80% selon la source (enquête du Sénat, 2019). 

Or, en 2021, 28% des PME en Europe ont été confrontées à une attaque cyber, et 19% des PME en France, soit une sur cinq (Baromètre UE, 2022). Autre source, mais chiffre aussi important :

“En 2021 plus d’une entreprise sur deux déclare avoir subi entre une et trois attaques cyber au cours de l’année”, selon le baromètre Cesin.

Si on interprète ces chiffres, cela signifierait que, en 2021, en France, plus d’une PME sur 10 s’est trouvée en danger de mort à cause d’une cyberattaque.

Et même si l’entreprise survit, les dommages handicapent l’activité. Le coût médian atteint souvent plusieurs dizaines de milliers d’euros. Il serait autour de 50 000 euros (enquête du Sénat, chiffres de 2018 et 2020).

Les quatre types de conséquences du risque cyber

Les hackers malveillants peuvent causer quatre types de dommages aux PME : 

  • Techniques : les pirates cassent les serveurs, les machines, effacent les données…
  • Juridiques : les clients, les prestataires, les fournisseurs portent plaintes pour la mise en en cas de fuite de données ou de transmission de virus.
  • Financiers : toutes les perturbations entraînent des pertes financières qui peuvent causer une faillite sèche de l’entreprise. 
  • Réputationnels : les potentiels futurs clients et fournisseurs peuvent se montrer réticents à travailler avec une entreprise qui a subi une cyberattaque. C’est la double peine.
Pour mieux comprendre, un exemple fictif inspiré de faits réels
La société Sûredelle vend des coffres-forts électroniques : des espaces de données chiffrées dans un cloud.Un jour, des pirates pénètrent dans les serveurs de Sûredelle. Ils ont envoyé un e-mail piégé : une offre de partenariat avec une société fictive qui vend aussi des solutions de chiffrement. Mais la plaquette commerciale au format PDF était infectée. Un employé ne s’est pas méfié.Aussitôt, les pirates chiffrent les données et rendent les serveurs inutilisables, en particulier ceux qui contiennent les doubles des coffres. Sûredelle ne peut plus changer les clés. En outre, les hackers bloquent les messageries et l’accès aux contacts. Les équipes ne peuvent plus prévenir les clients du risque. La société se retrouve en quelques heures dans une situation douloureuse. 
  • Conséquence technique : la société perd ses accès à des serveurs. Tout le système est bloqué.
  • Conséquence juridique : les clients risquent de porter plainte s’il y a une fuite de leurs données à cause de la négligence de Suredelle.
  • Conséquence réputationnelle : il sera difficile de faire confiance à Sûredelle de nouveau.
  • Conséquence financière : que ce soit les procès, les experts, les réparations, les coûts d’opportunités (du chiffre d’affaires potentiel non réalisé, par exemple à cause de la perte de prospects commerciaux), les pertes de recettes, l’arrêt de l’activité… L’addition risque d’être élevée pour Sûredelle.
conséquences cyberattaque PME

Et pourtant, les PME sont encore peu couverte contre le risque cyber

Malgré tous ces risques, de nombreuses PME n’ont pas encore souscrit d’assurance

Les dirigeants de PME peuvent avoir mis l’accent sur d’autres polices obligatoires, comme la garantie décennale pour les constructeurs, l’assurance emprunteur auprès des banques, l’assurance civile, l’assurance automobile… Le courtier ne propose pas toujours l’assurance cyber, ou le dirigeant peut ne pas en avoir entendu parler. 

Découvrez le témoignage du courtier en assurance Antoine Giacomotto, d'AGEO RISKS, sur l'assurance cyber pour les TPE x PME.

En outre, pour souscrire une assurance cyber classique, toutes les compagnies demandent à leurs clients d’améliorer leur niveau de protection. Les grands groupes s’y emploient, souvent en engageant des budgets importants. Mais les PME ont du mal à engager ces coûts. Ou alors, les dirigeants ne savent pas comment surmonter les obstacles techniques. 

Et les assureurs classiques en cybersécurité demandent à leurs potentiels clients de remplir de longs et nombreux questionnaires, sur une durée de plusieurs mois, ce qui laisse la place à des cyberattaques. 

Chiffre clés
Les patrons de PME interrogés déclarent que 20% de leurs employés ne sont pas informés du tout des risques cyber et que seuls 13% sont très bien informés. Et 88% des PME déclarent ne pas avoir mené de formation en 2021 (baromètre UE). 

L’assurance cyber : une ressource vitale

Le risque zéro n’existe pas

Les protections ne sont jamais infaillibles. Des hackers malveillants et déterminés trouveront toujours un moyen de pénétrer dans les serveurs d’une PME. De même qu’en voiture, le meilleur conducteur du monde, qui met sa ceinture et possède une voiture dernier cri, peut quand même subir un accident et se blesser. On appelle cela le risque résiduel. 

Exemple le plus parlant, les PME ne peuvent se prémunir à 100% de la faille humaine, quand un employé clique sur un fichier infecté ou choisit un mot de passe trop simple.

En outre, les techniques de hacking évoluent si vite que les pirates découvrent des failles, dans des logiciels, avant qu’une parade ne soit découverte.

Exemples :

  • Le logiciel d’espionnage Pegasus, de la société israélienne NSO, s’installait sur les iPhones cibles via une brèche de type 0-day (qui n’était jusqu’alors pas connue) de l’application iMessage.
  • Le logiciel répandu de compression de fichiers, WinRAR, a révélé une faille vieille de 19 ans, en 2021. Elle permettait à des hackers d’installer des fichiers malveillants et de prendre in fine la main sur les ordinateurs. 

Il est donc primordial d’avoir mis en place un plan d’action contre une cyberattaque et souscrit une assurance pour se couvrir des quatre types de conséquences évoquées plus haut : technique, financier, réputationnel, et juridique.

Déroulé d’une attaque et de l’activation d’une assurance cyber

Reprenons l’exemple de Sûredelle 

Dès que les employés découvrent l’intrusion des pirates, ils appellent leur assurance cyber, disponible 24/7.

Des experts cyber interviennent aussitôt pour soutenir le service technique de Sûredelle : contenir l’attaque, réaliser une chronologie complète de l’attaque, restaurer des sauvegardes non vérolées, vérifier que l’attaquant n’est plus dans les serveurs…

Des experts en communication de crise prennent le relais. Ils lancent aussitôt un plan pour rassurer les clients et les prospects.

Des experts juridiques sont dépêchés pour accompagner le dirigeant de l'entreprise attaquée et effectuer les démarches légales.

Le retour à la normale a demandé une semaine. L’entreprise réalise normalement un CA de 10 000 euros sur cette période et une marge brute de 30%. L’assurance rembourse donc 3 000 euros. En effet, l’assureur estime la perte de CA durant la période d’arrêt de l’activité et rembourse la marge brute correspondante.

Au cas où un client porte plainte contre Sûredelle, Stoïk couvre la responsabilité civile du dirigeant en cas de fuite de données. Et Sûredelle a aussi souscrit l’option responsabilité civile transmission de virus au cas où les pirates en auraient profité pour s’introduire chez un client. 

Foire aux questions

Que risque une PME lors d’une cyberattaque ? 

L’entreprise risque quatre types de conséquences : financière (perte d’argent), technique (software et hardware endommagé), réputationnelle (mauvaise image de l’entreprise), et juridique (des partenaires lésés portent plainte). 

Les cyberattaques peuvent-elles se révéler fatales ? 

De nombreuses entreprises font faillite à la suite de violentes cyberattaques. Elles ne se relèvent jamais de la perte des serveurs, des données, des procès intentés par les partenaires lésés, des coûts divers… 

Comment se déroule une intrusion informatique le plus souvent ?

La plupart des attaques proviennent d’une faille humaine : un employé se fait piéger par un phishing par exemple, un fichier téléchargé qui ouvre une porte d’entrée aux hackers malveillants. Une faille technique peut également servir de porte d’entrée à un attaquant.

Quels sont les obstacles à la souscription d’une assurance cyber ? 

Les assurances classiques demandent aux entreprises de remplir de nombreux et de longs questionnaires, parfois sur plusieurs mois. Ils exigent aussi des mises à niveau de la cybersécurité qui peuvent se révéler coûteuses. Autant d’obstacles financiers et techniques parfois insurmontables pour une PME. 

Sources :