Risque majeur du moment pour les entreprises, le risque Cyber ne cesse d’alimenter les discussions notamment suite à l’adoption de la loi LOPMI et son fameux article 4 ayant défrayé la chronique à propos du remboursement des rançons par les assureurs.
Spécialisé auprès des TPE et PME, l’assureur cyber français Stoïk publie les résultats d’une enquête IFOP riche d’enseignements concernant le rapport des PME avec leur cyber assurance.
Cibles régulières des cybercriminels, les PME souhaitent être davantage soutenues face aux risques et demandent en particulier la prise en charge du paiement des rançons.
Les PME, totalement concernées par la cybercriminalité
Naturellement, des cyberattaques visant de grandes entreprises ou structures trouveront un écho médiatique bien plus grand qu’une attaque contre le système informatique d’une PME, à l’image de la cyberattaque ayant touché 80% des serveurs informatiques de l’Hôpital André-Mignot de Versailles.
Cependant l’enquête IFOP vient confirmer des enseignements que d’autres études ou sondage ont déjà pu tirer : « les PME sont, elles aussi, concernées par les menaces cyber. 4 % d’entre elles déclarent d’ailleurs avoir été victimes d’une cyberattaque au cours des 12 derniers mois. Au total, ce sont près de 6 000 entreprises de 10 à 250 salariés qui sont touchées au cours des 12 derniers mois. »
L’enquête IFOP n’hésite pas ainsi à qualifier cette menace de « massive » puisqu’au total, « 11% des PME ont déjà subi une cyberattaque, soit 1 PME sur 10. » Par ailleurs, « 67% des PME ont déjà fait face au risque cyber et ont donc conscience de ce risque », quand bien même elles n’auraient pas subi de cyberattaque avérée.
L’enquête classe les secteurs de l’agriculture et de l’industrie parmi les plus vulnérables, « représentant 12 % des actes de malveillance », tout en tressant des lauriers au BTP. Le BTP est à la fois « le secteur d’activité le plus épargné, mais aussi le plus sensibilisé à la question, les entreprises concernées ayant pris la mesure du danger et mis en place des dispositifs de cybersécurité » : en 2022, seul 1 % des PME du bâtiment a été visé par une cyberattaque, contre 12 % il y a plus d’un an.
Une demande croissante d’accompagnement de la part des assureurs
Bien que 69% des PME « pensent ne pas intéresser les hackers », la demande de soutien auprès des assureurs est forte : 76 % des PME sont « en demande d’un accompagnement cyber spécifique de la part de leur assureur », et ce encore plus particulièrement au sein des structures employant moins de 100 salariés. « Conscientes de leur vulnérabilité », celles-ci n’ont pas les moyens suffisants pour mettre en place elles-mêmes les dispositifs de protection nécessaires. En outre, 58% des PME ayant subi une cyberattaque ont peur de se faire attaquer à nouveau.
Cet accompagnement ne saurait se contenter de réponses en cas d’attaques, mais consiste en une couverture globale passant par un accompagnement régulier et suivi, avec des conseils d’experts : « pour protéger les PME d’un risque qu’elles ne maîtrisent pas, il est nécessaire que l’assureur joue le rôle d’assureur-protecteur en intégrant l’expertise cyber à son expertise assurantielle. Ainsi, l’assureur accompagne les PME dans la gestion de leur posture de sécurité et devient lui-même un meilleur gestionnaire de ce risque. », indique Jules Veyrat, CEO et cofondateur de Stoïk.
En clair, les PME « attendent plus de leur assureur » notamment pour accéder plus facilement aux outils de cyberprotection nécessaires. Les entreprises attendent de sa part qu’il joue un rôle préventif et pro actif dans la réduction du risque.
Les PME souhaitent l’indemnisation des paiements de rançon !
Parmi les éléments majeurs de cette enquête, « 62% des PME attendent de leur assureur qu’il indemnise la rançon en cas de rançongiciel. » Une position allant largement à l’encontre de celle du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) qui était particulièrement monté au créneau sur le sujet.
Le président de Stoïk Jules Veyrat s’était lui-même très clairement prononcé contre le paiement des rançons sur notre plateau d’Assurance TV : « nous ne payerons pas les rançons pour le compte de nos assurés. » L’argument principalement évoqué touchait au risque d’alimenter un cercle vicieux et de nourrir ainsi la cybercriminalité. Position sur laquelle il est revenu récemment.
Cette position pourrait raviver le débat sur un sujet ayant déjà fait couler beaucoup d’encre : début septembre, l’Etat était prêt à valider l’indemnisation des rançons par les assurances, conditionnant celle-ci à un dépôt de plainte. Depuis l’article 4 de la loi LOPMI a été réécrit, le mot « rançon » ayant été supprimé et le champ de l’article élargi puisque dans sa version définitive, il concerne toute cyberattaque : les entreprises bénéficient désormais de 72h pour déclarer une attaque, avec ou sans demande de rançon, pour bénéficier de la garantie de l’assureur.
Comme l’expliquait l’avocate spécialisée Valérie Lafarge-Sarkozy, « après avoir été victimes d’une attaque, souvent les entreprises préfèrent payer la rançon dans l’espoir vain de retrouver rapidement leurs données. Elles ne déposent pas plainte, par une crainte irrationnelle d’être exposées. » Pour l’ensemble des experts du sujet, payer les rançons ne représente donc pas la solution et n’offre guère la garantie de récupérer ses données ou rétablir son système informatique.
Au fond comme le souligne Valérie Lafarge-Sarkozy, la problématique majeure reste la très insuffisante couverture actuelle des PME et TPE françaises en matière de cybercriminalité, ce qui fragilise l’ensemble du marché assurantiel. « Seules 3 % des entreprises sont assurées : les PME et les TPE ne se rendent pas compte qu’elles peuvent toutes être victimes d’une attaque cyber. Or la restauration d’un système d’information peut être onéreuse et la perte d’exploitation est certaine. »
En définitive, cette demande des PME de prise en charge des rançons sonne plutôt comme un aveu de faiblesse et un manque de confiance envers leurs propres capacités, comme envers celles des assureurs et des autorités publiques.
Il revient donc aux assureurs cyber, à l’image de Stoïk, de répondre à ce défi en renforçant leurs relations avec leurs assurés et en les sensibilisant davantage au long cours aux risques et aux bonnes pratiques, afin de faire évoluer les mentalités.