Les PME et ETI ont intérêt à s’équiper de ceintures et de harnais pour obtenir une assurance qui les protège en cas de cyberattaque. A l’heure où les attaques de hackers contre les entreprises se multiplient, les compagnies d’assurances se méfient avant de fournir ces couvertures.
« Seules les entreprises qui auront investi dans la sécurité informatique sur des outils de protection pourront s’assurer », prévient le directeur général d’AIG en France, Christophe Zaniewski. Mais « les procédures de sécurité de base sont encore très peu mises en œuvre par les PME », déplore cet acteur historique du marché.
Compensation des pertes
En effet, les PME et ETI sont encore très mal équipées pour faire face aux attaques de hackers. Les statistiques manquent, mais un peu moins de 8% des ETI et moins de 1% des PME disposaient d’une cyberassurance en 2020, selon les estimations de l’Association pour la gestion des risques et des assurances des entreprises (AMRAE), reprises en fin d’année dernière par un responsable de Bercy.
Préoccupé par la vulnérabilité des entreprises, l’Etat a promis un plan d’action en 2021 pour stimuler le développement de cette assurance. Mais « aujourd’hui on ne peut pas assurer des personnes qui ne font pas le moins du monde pour se protéger », prévient Nicolas Kaddeche, à la compagnie d’assurance Hiscox France.
Les assureurs peinent à appréhender le risque cyber, encore nouveau et très évolutif, et craignent de devoir payer cher en cas de cyberattaque. La facture peut s’alourdir rapidement car les couvertures n’ouvrent pas seulement le droit à une assistance technique pour aider les entreprises à remettre leurs systèmes informatiques sur les rails. Ils peuvent compenser les pertes économiques causées par la paralysie d’une communauté pendant des jours ou des semaines.
Demandes inadaptées
Refroidis par le bilan des attentats majeurs, les assureurs augmentent leurs tarifs et limitent la prise de risque. C’est le cas d’Hiscox France : « Nous avons décidé d’être plus sélectifs et de limiter fortement la souscription aux entreprises de plus de 100 millions de chiffre d’affaires », explique Nicolas Kaddeche. « Pour les ETI, obtenir une cyber-assurance devient très compliqué », note le courtier Antoine Giacomotto d’Ageo Assurances.
Dans tous les cas, ceux qui parviennent à signer un contrat ont dû présenter une pièce d’identité. En répondant au préalable à une série de questions sur leur sécurité. Et en démontrant qu’ils ont pris des mesures de protection, avec des sauvegardes, des systèmes de double vérification d’identité pour accéder au système informatique, etc.
« Nous avons de nombreuses demandes de courtiers nous demandant de faire un audit en amont pour aider leurs clients à obtenir une cyber assurance. Y compris pour les PME et les ETI », confirme Thibault Carré, chez l’expert en cybersécurité Inquest (Groupe Stelliant).
Les exigences des compagnies d’assurance font parfois grincer des dents. « Les exigences des grandes entreprises sont inadaptées au contexte du plus grand nombre d’ETI et de PME, avec des demandes de mise en conformité démesurées », estime Alain Conrad, président de la commission numérique du Mouvement des entreprises de taille intermédiaire (Meti). « Ce n’est pas à la portée de toutes les compagnies », note-t-il, demandant aux assureurs « d’ajuster le cahier des charges » et se disant confiant dans l’évolution de leurs positions.
Scan à distance
« Le problème, c’est que les compagnies d’assurances traditionnelles ne proposent pas d’accompagnement technique », fait valoir Jules Veyrat, fondateur du courtier spécialisé Stoïk, une compagnie d’assurances qui a levé 3,8 millions d’euros en début d’année. Partenaire de la toute jeune compagnie d’assurance Acheel, la startup propose aux TPE et PME de les couvrir après avoir « scanné » à distance leur sécurité informatique à l’aide d’un logiciel.
D’autres acteurs relativisent la hauteur de la démarche à franchir pour être en sécurité. Surtout pour les ETI. « Pour le moment, rien n’est rédhibitoire », assure Jean-Philippe Pagès, directeur du courtier d’assurances Bessé. « En quelques mois, une ETI peut établir le diagnostic de ses vulnérabilités et de sa maturité en matière de cybersécurité puis mettre en place des actions très concrètes de gouvernance et de prévention des risques qui lui permettront de se sécuriser », suggère-t-il.
Cependant, la mise à niveau requise dépend beaucoup de la taille des entreprises. « Pour les entreprises jusqu’à 10 millions de chiffre d’affaires, il existe des solutions d’assurance avec un minimum d’hygiène informatique, et les démarches d’assurance sont relativement simplifiées. Au-delà, les assureurs sont de plus en plus exigeants », note Didier Seigneur, vice-président du courtier CRF Assurances.
Un coût à relativiser
Les petites entreprises peuvent être réticentes à dépenser de l’argent pour des mises à niveau de cybersécurité et une cyberassurance. « Si vous avez mis en place toutes les protections nécessaires – antispam, antivirus, sauvegarde hors ligne, etc. – et si vous êtes sécurisé, pour une TPE tout cela revient à deux jours de chiffre d’affaires annuel la première année et un jour de chiffre d’affaires ensuite. », explique Marc Bothorel, responsable cybersécurité à la Confédération nationale des petites et moyennes entreprises.
Même à la tête d’une petite entreprise informatique de l’Essonne, Starware Micro Services (700 000 euros de chiffre d’affaires), la police cyber lui coûte 600 euros par an, contre 1 400 euros pour sa responsabilité civile professionnelle – « ce n’est rien, même pas le coût de une journée de travail pour un de mes ingénieurs », dit-il. « Je n’ai qu’un conseil : prenez vos mesures de protection aujourd’hui dans le contexte international tendu, car demain il sera trop tard », insiste-t-il.
La cybermenace perçue comme élevée avec la guerre en Ukraine
La guerre en Ukraine et la situation actuelle d’incertitude géopolitique ravivent les inquiétudes des entreprises quant à une aggravation de la cybermenace. Selon une enquête publiée fin mai par le Club des experts en sécurité de l’information et du numérique (Cesin) et réalisée par OpinionWay auprès de 300 PME et ETI réalisant plus de 15 millions d’euros de chiffre d’affaires, 59% d’entre elles craignent une recrudescence de la cyber-attaques ». C’est plus particulièrement le cas des ETI et des PME de plus de 100 millions d’euros de chiffre d’affaires. Parmi les entreprises interrogées, 45% ont renforcé leur système de cybersécurité depuis le début du conflit, ou sont en train de le faire.