StoïkBlogCyberassurance

PME : pourquoi est-ce si difficile de s'assurer contre le risque cyber ?

Sarada Nourby
Dernière mise à jour :

Ces dernières années, le nombre de cyberattaques a considérablement augmenté. Le risque cyber fait désormais partie du quotidien des entreprises. Cependant, très peu d’entre elles, et en particulier les PME, sont protégées en France. Et pourtant, 60% d’entre elles font faillites dans les 18 mois qui suivent une cyberattaque. Comment en est-on arrivé là ? Quelles sont les raisons qui expliquent une si faible prise en compte du risque n°1 en entreprise ? Tour d’horizon des freins qui empêchent les entreprises les plus vulnérables à mettre en place une bonne protection cyber.

PME difficulté frein assurance cyber

#1 Les cyberattaques : nouveau phénomène volatile et invisible

Le premier pic de cyberattaques date de 2017. Puis avec l’arrivée du Covid et du changement des habitudes de travail, les hackers ont trouvé un nouveau terrain de jeu. Les confinements ont précipité la transformation digitale de nombreux domaines avec le télétravail, l’augmentation du nombre de visioconférences, la digitalisation de nombreux documents sensibles, etc. Autant de pratiques qui, si elles ne sont pas effectuées dans un cadre sécurisé, peuvent révéler des failles dans le système et faciliter les attaques de plus en plus sophistiquées.

Ainsi, depuis deux ans, la digitalisation des entreprises a connu une forte accélération, et le nombre de cyberattaques a parallèlement fortement augmenté. En 2020, la CNIL (Commission Nationale de l’Informatique et des Libertés) constatait une augmentation de +255 % des attaques par rançon en un an. Ne disposant pas assez de données historiques sur ce risque qui évolue vite, les assureurs traditionnels peinent à proposer un produit qui correspond aux besoins et au niveau de sécurité des petites et moyennes entreprises.

Le saviez-vous ?
Il existe aujourd’hui des RaaS (ransomware-as-a-service) qui peuvent être utilisés par n’importe qui. Un hacker novice peut donc acheter à des prix relativement bas (dès 50 euros) un kit pour lancer un ransomware avec une assistance client et un tableau de bord pour les offres les plus développées.

#2 Les attaques des PME moins visibles que celles des hôpitaux publics et des grands groupes

Beaucoup de dirigeants de PME ne se sentent pas assez concernés par le risque de cyberattaques au point de mettre en place les mesures prioritaires de cybersécurité ou encore de s’assurer. Certains pensent que leur secteur d’activité ou leur entreprise ne sont pas attractifs pour les hackers, ou que leurs données ne sont pas assez intéressantes pour être dérobées et revendues. Il s’agit ici d’idées reçues assez classiques : tant que cela ne nous est pas arrivé, il est difficile de prendre la menace au sérieux.

De plus, la plupart des cyberattaques médiatisées concernent les hôpitaux publiques, les collectivités territoriales, mairies, écoles, ou encore les grands groupes et les marques connues. Les cyberattaques qui touchent les PME sont moins relayées dans la presse. Celles-ci sont d’ailleurs moins enclines à communiquer sur un tel sujet qui peut leur porter préjudice en termes de notoriété. Cependant, ce n’est pas parce qu’elles sont moins médiatisées qu’elles sont forcément moins attaquées…

En effet, les attaquants visent aujourd’hui des systèmes vulnérables et non des entreprises connues. Les PME représentent ainsi une cible idéale pour les hacker, au même niveau que les structures publiques, faciles à pirater car encore trop peu sécurisées.

Les grands groupes se font plus rarement attaquer que les PME, mais ces cyberattaques sont généralement impressionnantes, de part leurs coûts et leurs répercussions, et donc très médiatisées.

cyberattaque média PME
Exemple d'une cyberattaque d'une PME parue dans la presse
https://www.lefigaro.fr/flash-eco/bas-rhin-clestra-place-en-redressement-judiciaire-20220801

#3 Des entreprises qui pensent être suffisamment protégées…

  • “Mes données sont sur le cloud, je n’ai aucun risque.”
  • “Mes données ne sont pas assez sensibles, un attaquant ne s’intéresserait pas à moi.”
  • “J’ai un prestataire IT qui s’occupe de tout, tout est très bien configuré chez nous.”

Il s’agit évidemment d’idées reçues qu’il faut continuer de combattre :

  • Ce n’est pas parce qu’un système informatique est bien sécurisé, qu’un attaquant ne pourra pas s’introduire dans le système : le risque zéro n’existe pas et de nouvelles failles techniques sont découvertes régulièrement.
  • Ce n’est pas parce qu’une entreprise est sur le cloud que ses données ne peuvent pas être piratées : si les données sont accessibles à distance, elles peuvent être accessibles par un hacker.
  • Un prestataire IT ne pourra pas empêcher une attaque par phishing de survenir : les collaborateurs doivent être sensibilisés en interne au risque de cyberattaque. Le facteur humain reste le 1er facteur de risque.
Vous faites face à d’autres idées reçues ?
Nous vous aidons à communiquer sur le risque cyber.
Contactez-nous !

#4 Des assureurs dépassés face à un risque incontrôlable

Depuis 2020, les entreprises commencent à prendre conscience du danger que représentent les cyberattaques. Elles sont plus nombreuses chaque année à allouer un budget en cybersécurité. Pourtant, ces dépenses ne semblent toujours pas suffisantes pour faire face et les assureurs continuent de verser plus d'indemnisations qu’ils ne reçoivent de primes.

L’AMRAE (l’association pour le Management des Risques et des Assurances de l’Entreprise) a publié, en mai 2021, LUCY (LUmière sur la CYberassurance), “une étude objective et exhaustive sur le risque cyber et la couverture assurantielle.” D’après l’étude, le montant des sommes indemnisées entre 2019 et 2020 a presque triplé passant de 75M€ à 217M€. Le taux de sinistralité à quant à lui doublé. Le ratio sinistre sur prime est passé de 84 % à 167 % en un an.

Pour palier à ce problème, certains assureurs ont doublé voire triplé leurs primes d’assurance auprès de leurs clients, ce qui a porté ses fruits puisqu’en 2021, le taux de sinistralité - toute entreprise confondue - est repassé au niveau de 2019 avec un ratio à 88% (LUCY 2022). Il reste cependant élevé chez les PME qui sont moins de 1% à être assurées mais dont le loss ratio était de 325% en 2021.

Bon à savoir
En 2020, le total des sommes indemnisées par des cyber-assurances était de 217M€. Mais quatre sinistres ont représenté à eux seuls 2⁄3 des indemnisations (soit 130M€). Ces sinistres de forte intensité ont baissé chez les grandes entreprises mais augmenté chez les PME et ETI en 2021.

#5 Des questionnaires complexes et des audits pour pouvoir s’assurer

Quant aux PME qui ont conscience du risque et qui souhaitent se protéger, elles se retrouvent confrontées à d’autres problèmes. Dans un premier temps, elles font face à la complexité d’un produit d’assurance complexe avec des questionnaires cyber très longs et fastidieux à remplir, souvent suivies d’un audit cyber complet, le tout pouvant prendre plusieurs mois de travail.

Ce travail préalable permet à l’assureur d’évaluer l’éligibilité d’une entreprise à son produit d’assurance. Selon Grégory Allard, Président de la société de courtage Filhet Allard & Cie, environ une demande de souscription sur deux est refusée par les assureurs.

Les procédures assez lourdes, longues et sans garantie de souscription derrière peuvent décourager aussi bien les courtiers en assurance que leurs clients TPE x PME qui renoncent bien souvent à s’assurer pour ces raisons.

L'assurance cyber accessible
Dîtes adieu aux questionnaires et aux audits de cybersécurité. Stoïk vous indique votre éligibilité après un scan externe automatisé et gratuit.
Connaître mon éligibilité

#6 Des courtiers qui peinent à proposer du cyber

Il incombe au courtier en assurance le rôle de conseiller auprès des dirigeants d’entreprises afin qu’ils soient informés des risques qu’ils encourent.Une tâche difficile à accomplir lorsque l’on fait face à un risque récent, technique, en pleine évolution et difficile à évaluer.

De plus, comme vu précédemment, les polices des assureurs traditionnels ne cessent d’augmenter et les conditions d’éligibilité ne cessent de se durcir pour combler le taux de sinistralité élevé. Difficile, dans ce contexte, pour un courtier en assurance de proposer à ses clients de s’assurer en cyber.

De nouveaux acteurs comme Stoïk sont arrivés sur le marché pour faciliter l’accès à l’assurance cyber aux TPE x PME avec une nouvelle approche de sélection et de quantification du risque. Grâce à des outils de cybersécurité mis à disposition des assurés, et à une surveillance continue du niveau de risque de l’entreprise, Stoïk garantit des prix plus stables et plus justes.

Découvrir l'assurance cyber Stoïk
Un prix juste et abordable dans le temps pour les TPE x PME.
Connaître mon éligibilité

Sources :