Au début du XXème siècle, personne ne s’assurait contre les accidents de la route. Alors qu’aujourd’hui, l'assurance auto est une évidence pour tous les conducteurs. En sera-t-il de même pour l'assurance cyber ? Aujourd’hui, les cyberattaques se classent en première position des risques des entreprises. Les hackers malveillants causent de lourdes pertes et peuvent mener une entreprise à la faillite, tant les conséquences financières, techniques, réputationnelles et juridiques d’une cyberattaque se révèlent parfois graves.
Auparavant, les pirates ciblaient les grandes entreprises. Mais aujourd'hui, les hackers malveillants attaquent des systèmes informatiques vulnérables, ce qui inclut les hôpitaux, ministères, collectivités, mairies… mais aussi les PME.
Exemple avec MilEclair, une entreprise de nettoyage de locaux industriels.
"Nous avons été victimes d’un ransomware il y a quelques années : nous avons perdu deux ans et demi de travail sur notre dossier de certification ISO 9001 !”, racontait Stéphanie Pauzat, présidente de l’entreprise qui emploie 500 salariés et totalise 8,5 millions d’euros de chiffre d’affaires (citée par le Journal des Entreprises).
Parfois les conséquences se révèlent fatales…
“Mes fichiers clients et fournisseurs, et ceux de la comptabilité, sont cryptés et inutilisables. Je ne peux pas continuer sans ces fichiers ni repartir à zéro”, regrettait André Thomas, en 2017, l’ancien dirigeant de Clermont Pièces, une TPE de Clermont Ferrand qui vendait de l’électroménager (cité par la Montagne). Il a dû fermer boutique après une cyberattaque. Il avait racheté la société avec son fils en 2012. “Il aurait peut-être fallu prévoir des sauvegardes en ligne sur des sites protégés. Ce n'était pas mon métier, je n'y ai pas pensé”, témoignait le dirigeant.
Au-delà des exemples, le risque cyber est bien un enjeu global de survie pour les PME.
60% des entreprises déposent le bilan dans les six mois après une cyberattaque (enquête CCI IdF, 2020). Et le chiffre monterait même à 80% selon la source (enquête du Sénat, 2019).
Or, en 2021, 28% des PME en Europe ont été confrontées à une attaque cyber, et 19% des PME en France, soit une sur cinq (Baromètre UE, 2022). Autre source, mais chiffre aussi important :
“En 2021 plus d’une entreprise sur deux déclare avoir subi entre une et trois attaques cyber au cours de l’année”, selon le baromètre Cesin.
Si on interprète ces chiffres, cela signifierait que, en 2021, en France, plus d’une PME sur 10 s’est trouvée en danger de mort à cause d’une cyberattaque.
Et même si l’entreprise survit, les dommages handicapent l’activité. Le coût médian atteint souvent plusieurs dizaines de milliers d’euros. Il serait autour de 50 000 euros (enquête du Sénat, chiffres de 2018 et 2020).
Les hackers malveillants peuvent causer quatre types de dommages aux PME :
Malgré tous ces risques, de nombreuses PME n’ont pas encore souscrit d’assurance.
Les dirigeants de PME peuvent avoir mis l’accent sur d’autres polices obligatoires, comme la garantie décennale pour les constructeurs, l’assurance emprunteur auprès des banques, l’assurance civile, l’assurance automobile… Le courtier ne propose pas toujours l’assurance cyber, ou le dirigeant peut ne pas en avoir entendu parler.
Découvrez le témoignage du courtier en assurance Antoine Giacomotto, d'AGEO RISKS, sur l'assurance cyber pour les TPE x PME.
En outre, pour souscrire une assurance cyber classique, toutes les compagnies demandent à leurs clients d’améliorer leur niveau de protection. Les grands groupes s’y emploient, souvent en engageant des budgets importants. Mais les PME ont du mal à engager ces coûts. Ou alors, les dirigeants ne savent pas comment surmonter les obstacles techniques.
Et les assureurs classiques en cybersécurité demandent à leurs potentiels clients de remplir de longs et nombreux questionnaires, sur une durée de plusieurs mois, ce qui laisse la place à des cyberattaques.
Les protections ne sont jamais infaillibles. Des hackers malveillants et déterminés trouveront toujours un moyen de pénétrer dans les serveurs d’une PME. De même qu’en voiture, le meilleur conducteur du monde, qui met sa ceinture et possède une voiture dernier cri, peut quand même subir un accident et se blesser. On appelle cela le risque résiduel.
Exemple le plus parlant, les PME ne peuvent se prémunir à 100% de la faille humaine, quand un employé clique sur un fichier infecté ou choisit un mot de passe trop simple.
En outre, les techniques de hacking évoluent si vite que les pirates exploitent de nouvelles failles et complexifient leurs techniques d'attaque.
Exemples :
Il est donc primordial d’avoir mis en place un plan d’action contre une cyberattaque et souscrit une assurance pour se couvrir des quatre types de conséquences évoquées plus haut : technique, financier, réputationnel, et juridique.
L’entreprise risque quatre types de conséquences : financière (perte d’argent), technique (software et hardware endommagé), réputationnelle (mauvaise image de l’entreprise), et juridique (des partenaires lésés portent plainte).
De nombreuses entreprises font faillite à la suite de violentes cyberattaques. Elles ne se relèvent jamais de la perte des serveurs, des données, des procès intentés par les partenaires lésés, des coûts divers…
La plupart des attaques proviennent d’une faille humaine : un employé se fait piéger par un phishing par exemple, un fichier téléchargé qui ouvre une porte d’entrée aux hackers malveillants. Une faille technique peut également servir de porte d’entrée à un attaquant.
Les assurances classiques demandent aux entreprises de remplir de nombreux et de longs questionnaires, parfois sur plusieurs mois. Ils exigent aussi des mises à niveau de la cybersécurité qui peuvent se révéler coûteuses. Autant d’obstacles financiers et techniques parfois insurmontables pour une PME.
Sources :