Les PME et ETI ont intérêt à s’équiper de ceintures et de bretelles pour avoir l’assurance qu’elles les protégeront en cas de cyberattaques. A l’heure où les attaques pirates contre les entreprises se multiplient, les assureurs sont vigilants avant d’accorder de telles garanties.
« Seules les entreprises qui ont investi dans la sécurité informatique sur des outils de sécurité pourront la sécuriser », prévient le directeur général d’AIG en France, Christophe Zaniewski. Or, « les procédures élémentaires de sécurité sont encore mal mises en œuvre par les PME », déplore cet acteur historique du marché.
Table des matières
Compensation des pertes
Les PME et ETI sont également très peu couvertes face aux attaques de pirates. Les statistiques manquent, mais à peine 8% des ETI et moins de 1% des PME auront une cyber-assurance d’ici 2020, selon les estimations de l’Association pour la gestion des risques d’entreprise et d’assurance (AMRAE), reprise à la fin du dernier an par un responsable de Bercy
Préoccupé par la vulnérabilité des entreprises, l’État a promis en 2021 un plan d’action pour favoriser le développement de cette assurance. Mais « on ne peut pas assurer aujourd’hui les personnes qui ne font pas le minimum pour se protéger », a prévenu Nicolas Kaddeche, assureur Hiscox France.
Peinant à appréhender le risque cyber, encore nouveau et très évolutif, les assureurs craignent de devoir payer cher en cas de cyberattaques. Le projet risque de s’effondrer rapidement car les entreprises n’ouvrent pas seulement le droit à un support technique pour aider les entreprises à récupérer leurs systèmes informatiques. Ils peuvent compenser les pertes financières causées par la paralysie d’une entreprise pendant des jours voire des semaines.
Demandes inadaptées
Refroidis par la facture des attentats majeurs, les assureurs augmentent leurs tarifs et limitent leur prise de risque. C’est le cas d’Hiscox France : « Nous avons décidé d’être plus sélectifs et de limiter fortement la souscription des entreprises de plus de 100 millions de chiffre d’affaires, explique Nicolas Kaddeche. « Pour ETI, il devient très compliqué d’obtenir une cyber-assurance », constate Antoine Giacomotto, courtier chez Ageo Assurances.
Cependant, ceux qui ont réussi à signer un contrat ont dû montrer leurs références. Répondre à l’avance à une série de questions sur leur sécurité. Et démontrer qu’ils ont pris des mesures de protection, y compris des sauvegardes, des systèmes de vérification à double identité pour accéder au système informatique, etc.
« Nous avons de nombreuses questions de courtiers nous demandant de faire un audit en amont pour aider leurs clients à obtenir une cyber-assurance. Y compris pour les PME et les ETI », confirme Thibault Carré, dans l’expertise en cybersécurité Inquest (Groupe Stelliant).
Les besoins des assureurs font parfois grincer des dents. « Les besoins des grandes entreprises ne sont pas adaptés au contexte de multiplication des ETI et des PME, avec des exigences de conformité disproportionnées », a déclaré Alain Conrard, président de la commission numérique du Mouvement des moyennes entreprises (Meti). « Ce n’est pas à la portée de toutes les entreprises », note-t-il, exhortant les assureurs à « adapter le cahier des charges » et se disant convaincu que leurs positions vont évoluer.
Scan à distance
« Le problème, c’est que les assureurs traditionnels ne proposent pas d’accompagnement technique », argumente Jules Veyrat, fondateur du courtier spécialisé Stoïk, une insurtech qui a levé 3,8 millions d’euros en début d’année. En partenariat avec le jeune assureur Acheel, la start-up propose aux TPE et PMI de les couvrir après avoir « scanné » leur sécurité informatique à distance avec un logiciel.
Les autres joueurs relativisent la hauteur de la marche pour être sûr. Surtout pour ETI. « Pour l’instant, il n’y a rien d’insurmontable », assure Jean-Philippe Pagès, directeur du courtier d’assurances Bessé. « En quelques mois, une ETI peut établir le diagnostic de ses vulnérabilités et de sa maturité en matière de cybersécurité et peut mettre en place de nombreuses mesures de gouvernance et de prévention des risques qui lui permettront d’assurer », précise-t-il.
Cependant, la mise à niveau requise dépend beaucoup de la taille des entreprises. « Pour les entreprises réalisant jusqu’à 10 millions de chiffre d’affaires, il existe des solutions d’assurance avec un minimum d’hygiène informatique, et les procédures de souscription sont relativement simplifiées. Au-delà, les assureurs deviennent de plus en plus exigeants », note Didier Seigneur, vice-président du courtier. CRF Assurances.
Un coût à relativiser
Les petites entreprises peuvent être réticentes à dépenser de l’argent pour la cybersécurité et les mises à jour de cybersécurité. « Si vous avez mis en place toutes les protections nécessaires – antispam, antivirus, sauvegarde hors ligne, etc. – et si vous vous en assurez, tout cela revient à un TPE de deux jours de facturation annuelle la première année et d’un jour de facturation ensuite. », précise-t-il Marc Bothorel, délégué cybersécurité de la Confédération nationale des petites et moyennes entreprises.
Lui-même à la tête d’une petite société informatique de l’Essonne, Starware Micro Services (700 000 euros de chiffre d’affaires), sa police cyber lui coûte 600 euros par an, contre 1 400 euros pour sa responsabilité civile professionnelle – « ce n’est rien, même pas le coût d’une une journée de travail pour l’un de mes ingénieurs », dit-il. « Je n’ai qu’un conseil : prenez dès aujourd’hui vos mesures de protection dans le contexte international tendu, car demain il sera trop tard », insiste-t-il.
La cybermenace est perçue comme élevée avec la guerre en Ukraine
La guerre en Ukraine et la situation actuelle d’incertitude géopolitique ravivent les problèmes des entreprises face à une aggravation de la cybermenace. Selon une enquête publiée fin mai par le Club des experts de l’information et de la sécurité numérique (Cesin) et menée par OpinionWay auprès de 300 PME et ETI réalisant plus de 15 millions d’euros de chiffre d’affaires, 59% d’entre elles « craignent une augmentation des cyberattaques ». » C’est notamment le cas des ETI et des PME réalisant plus de 100 millions d’euros de chiffre d’affaires. Parmi les entreprises interrogées, 45% ont renforcé leur système de cybersécurité depuis le début du conflit, ou sont en train de le faire.
Quelles sont les menaces ?
Types de menaces
- Fuite de données. La fuite de données est la copie ou le transfert non autorisé de données en dehors du domaine. …
- Fuite de données. …
- Suppression des données. …
- Attaque malveillante de l’intérieur. …
- Violation de compte. …
- Violation des droits. …
- Craquage de mot de passe. …
- Hameçonnage.
Quelles sont les menaces liées au développement d’Internet ? 1L’essor du numérique s’est accompagné d’un développement de menaces liées à de nouvelles formes de criminalité, allant des actes quotidiens de cyber-vandalisme ou de cybercriminalité, où l’attrait du profit est le principal moteur, à des modes d’actions cachés par la cyberguerre ou l’espionnage économique bien plus…
Quelles sont les sources de menaces pour une entreprise ?
Quelles catégories de logiciels malveillants prédominent ? Les ransomwares restent dominants, suivis des chevaux de Troie bancaires. Le vol d’informations est une technique beaucoup plus ciblée sur une entreprise, une donnée en particulier, mais cela représente moins d’attaques sur le volume, là où le ransomware est une technique de masse.
Quelles sont les 3 natures des principales menaces pour le système informatique ?
La déstabilisation, l’espionnage, le sabotage et sous certaines conditions de cybercriminalité sont les principales menaces traitées par le Centre de cyberdéfense.
Quelles sont les conséquences d’une Cyber-attaque ?
Conséquences d’une cyberattaque Une cyberattaque peut entraîner une cybercrise, que ce soit au niveau informatique (blocage de sites), financier ou de réputation (les données des utilisateurs peuvent être exposées). Les cyberattaques peuvent avoir les conséquences suivantes : usurpation d’identité, fraude, extorsion, extorsion.
Quels sont les cyber-risques ? Il existe quatre types de risques cyber aux conséquences différentes, qui touchent directement ou indirectement les particuliers, les administrations et les entreprises : la cybercriminalité, l’atteinte à l’image, l’espionnage, le sabotage.
Quelles peuvent être les conséquences d’une cyber-attaque ?
Création de brèches dans un système de sécurité, Exposition au chantage (ransomware…), Atteinte à la réputation (notamment lorsque la sécurité est un élément essentiel de la politique de communication de l’entreprise), Dommage commercial (vol de données sensibles en matière de concurrence).
Est-ce que les cyberattaques ont un impact sur l’activité économique ?
Compte tenu de son coût pour l’économie mondiale de l’Internet (4 200 milliards de dollars en 2016), la cybercriminalité peut être considérée comme une taxe sur une croissance de 14 % 1. Le ransomware, ou ransomware, est l’outil qui se développe le plus rapidement.
Quels sont les risques pour une organisation en cas de cyberattaque ? Quatre types de cyberrisques menacent les entreprises cybercriminelles : il s’agit d’attaques visant à obtenir des informations à exploiter ou à revendre. Les techniques les plus utilisées sont le phishing et les ransomwares.
Quels peuvent être les impacts d’une cyberattaque ?
Une cyberattaque peut conduire à une cybercrise, que ce soit au niveau informatique (blocage de sites), financier ou réputationnel (les données des utilisateurs peuvent être exposées). Les cyberattaques peuvent avoir les conséquences suivantes : usurpation d’identité, fraude, extorsion, extorsion.
Quels sont les impacts d’une attaque informatique sur le long terme ?
Mais les conséquences d’une attaque peuvent se répercuter pendant des années sous la forme de coûts cachés, dont la plupart sont beaucoup moins facilement mesurables : atteinte à l’image de l’entreprise, perturbation de l’activité, perte d’informations confidentielles, entre autres axes stratégiques.
Quelles peuvent être les conséquences des cyberattaques au niveau individuel ?
Atteinte à la réputation (notamment lorsque la sécurité est un élément essentiel de la politique de communication de l’entreprise), Atteinte à l’activité (vol de données sensibles en matière de concurrence).
Quel est le but d’une cyberattaque ?
Une cyberattaque peut être menée à des fins d’espionnage. Ces attaques sont très ciblées. Cette attaque vise à récupérer un maximum de données à l’insu de l’entreprise.
Qui fait des cyberattaques ? Une cyberattaque est un acte offensant contre un appareil informatique par l’intermédiaire d’un cyberréseau. Une cyberattaque peut émaner d’individus isolés ou d’un groupe de pirates, éventuellement étatiques.
Quels sont les objectifs des pirates lors de cyberattaques ?
Une fois connectés au Système d’Information, les pirates peuvent désormais y installer des outils malveillants, se faisant passer pour un utilisateur lambda et fragilisant les bases de sécurité de l’entreprise. Tout cela dans un seul but : obtenir votre accès administrateur.