Elaborée en partenariat avec le Groupe Stelliant, une étude récente* par le courtier et conseiller en assurances Bessé confirme un constat déjà établi : nos entreprises sont insuffisamment préparées et insuffisamment assurées en matière de cybercriminalité, avec des impacts considérables non seulement sur leurs finances, mais aussi sur leurs organisations.
Les conclusions de cette étude Risques Cyber – Analyse de la sinistralité[1] confirment immanquablement le discours de la majorité des experts sur ce sujet. Face à cette méconnaissance persistante des cyber-risques, un changement de mentalité pour plus d’innovation semble nécessaire.
Dans le communiqué présentant la synthèse de l’étude, le Président Pierre BESSÉ, du groupe éponyme, souligne le caractère pédagogique de cette étude, afin de sensibiliser les entreprises à la cybercriminalité et les inviter à s’assurer davantage : « Avec cette étude, nous avons choisi de nous placer au centre de la crise cyber en observant la gestion du sinistre. Notre objectif est d’apporter aux dirigeants et à leurs équipes un éclairage favorisant leur compréhension des frais et pertes auxquels sont exposées les entreprises, et quelle pourrait être leur prise en charge au titre des contrats d’assurance cyber qu’ils peuvent décider de souscrire. »
Les chiffres et enseignements-clés de l’étude
- l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a suivi plus de 1000 affaires en 2021 (750 en 2020)
- suite à une cyberattaque, le taux moyen de perte totale de données est de 36 %
- 79% des entreprises ayant des données hébergées sur le cloud ont subi au moins une violation depuis 2020
- 89% des entreprises ne parviennent pas à protéger leurs données
- la France est le 3ème pays le plus attaqué par ransomware, après les Etats-Unis et le Royaume-Uni
- les attaques par ransomware constituent près de 90 % de la sinistralité́ enregistrée. Toutefois, « le montant des rançons reste faible en comparaison du préjudice total subi et le nombre de dossiers concernés par un paiement de rançon est très limité. »
- les cyberattaques conduisent l’entreprise à devoir « reconstruire totalement ou partiellement son système d’information » dans 94 % des cas.
Des impacts financiers considérables
L’étude livre une analyse fine du coût de la sinistralité pour en faire
ressortir les principales composantes. Les frais et pertes suite aux cyberattaques ont ainsi été répartis sur 3 grands postes :
- frais engagés « pendant la phase de crise » (mesures d’investigation numérique, communication, gestion de crise, mesures prises en cas de fuites de données)
- les frais engagés « pendant la phase de reconstruction du système
d’information (SI) » (reconstruction du système par le biais de prestataires externes, déchiffrement, reconstitution des données…) - les frais et pertes « du fait de la baisse du niveau d’activité »
Or il ressort nettement que le poids des pertes d’exploitation est prépondérant par rapport à l’ensemble des frais et pertes. Les pertes d’exploitation peuvent représenter plus de 80 % des coûts d’un sinistre majeur touchant une ETI ou un grand groupe. Cela illustre à quel point l’activité des entreprises est
dépendante de leur système d’information (SI).
Ainsi un total de 174 millions d’euros de pertes a été déclaré au titre des sinistres de l’échantillon analysé, dont 129 millions pris en charge par les assurances à la date de l’étude, conformément aux contrats d’assurance souscrits.
Des impacts organisationnels insoupçonnés
Là où l’étude revêt tout son intérêt, c’est en mettant en évidence que les impacts des cyberattaques contre les entreprises vont bien au-delà du seul préjudice financier. Comme le souligne le rapport, « les impacts d’un sinistre cyber sont multiples. Les activités seront plus ou moins fortement perturbées avec des répercussions à tous les niveaux » :
- perte de la messagerie email et de la téléphonie (les lignes téléphoniques fonctionnant maintenant sous IP et non plus en RTC)
- perturbation voire arrêt des flux de communication internes et externes, y compris les applicatifs dédiés aux fonctions supports (gestion RH, comptabilité, achats, vente, gestion des stock…)
- Impossibilité de traiter les opérations en front et back-office: les équipes des services IT se retrouvent alors en première ligne pour rétablir le système d’information. Elles sont alors soumises à une forte pression, car tout le reste du fonctionnement de l’entreprise en dépend. L’incident doit ainsi être géré non seulement d’un point de vue technique, mais aussi en termes de gestion managériale.
Ainsi l’étude livre les conclusions suivantes à propos des impacts organisationnels que subissent les entreprises :
- « toute attaque cyber entraine des perturbations plus ou moins fortes de l’activité́ pendant plusieurs semaines voire plusieurs mois. »
- « beaucoup d’entreprises sous estiment ou n’ont pas conscience des arrêts ou retards de fonctionnement qui peuvent être générés. En revanche, elles surestiment leur capacité́ à retrouver rapidement un niveau normal d’activités. »
En effet, le « retour à la normale » représente en moyenne 89 jours pour les Grandes Entreprises, 20 jours pour les ETI, 29 pour les PME et 26 jours pour les TPE. De quoi grever largement l’activité et donc le chiffre d’affaires…
Quels enseignements tirer ?
Le constat est sans appel. Trop d’entreprises sont encore insuffisamment préparées à une cyberattaque, comme le souligne Christophe ARREBOLLE, Président du Groupe Stelliant : « nous constatons encore trop souvent que ce risque n’est pas intégré́ à son juste niveau de survenance par les différents acteurs économiques. » Les PME et TPE apparaissent notamment comme les plus vulnérables et les plus exposées aux attaques, « en raison d’un niveau de protection très faible. »
La faible couverture assurantielle en matière de risques cyber est donc pointée du doigt : « les grandes entreprises, ont, a priori, toutes souscrit à une couverture d’assurance cyber. Au niveau des ETI et selon l’étude LUCY publiée par l’AMRAE en 2021, seules 8 % d’entre elles auraient souscrit une assurance cyber. Ce pourcentage est sans aucun doute encore plus faible pour les PME / TPE. »
Cette couverture assurantielle insuffisante est d’autant plus préjudiciable que selon le rapport, « le volet assistance est un des points forts des polices d’assurance Cyber car il apporte un véritable soutien aux entreprises victimes de cyberattaques. L’expérience acquise par les assureurs apporte aussi de la valeur. »
Par ailleurs au-delà de la nécessité de s’assurer, un changement de mentalité et d’appréhension du risque Cyber s’impose. Cette étude rejoint ainsi les conclusions de bien d’autres experts, à l’image du vice-président de Tanium Jérôme Warot, qui avait exhorté dans une tribune les DSI à « changer de point de vue sur la question des risques cyber en adoptant une démarche pro-active. »
Parmi les personnalités expertes invitées à s’exprimer dans le rapport de Bessé, Laurent PORTA, associé chez Vae Solis Communications, exprime une approche similaire en matière de cyber-résilience : « Aujourd’hui, l’actualité cyber peut facilement se résumer par trois notions : volumétrie, détection et évaluation de la résistance, l’objectif visé pour les entreprises étant d’atteindre un niveau élevé de cyber résilience. L’anticipation et la préparation sont donc les maîtres-mots qui doivent être au cœur de la stratégie de résistance, que ces dernières se doivent d’opposer aux attaques cyber. Ce n’est plus la peine de perdre du temps à s’interroger si « je vais être touché » mais plutôt « Qu’est-ce que je dois protéger ? » et « Comment je me prépare ? ». Si la place de l’IT est indéniable dans cette phase, elle doit, pour être complète, s’accompagner d’une forte préparation de la communication. »
[1] Etude réalisée à travers un échantillon de 59 sinistres (entre 2019 et 2021) de sociétés ayant souscrit une police d’assurance cyber et dont les impacts financiers excèdent 100K€ pour les grands Groupes et 50K€ pour les petites et moyennes entreprises.