Les PME et ETI sont intéressées à s’équiper de ceintures et de bretelles pour obtenir une assurance qui les protège en cas de cyberattaques. À une époque où les attaques de piratage contre les entreprises se multiplient, les assureurs font preuve de prudence avant d’approuver ces couvertures.
« Seules les entreprises qui ont investi dans la sécurité informatique dans des outils de protection pourront se protéger », prévient le PDG d’AIG France Christophe Zaniewski. Or, « les petites et moyennes entreprises font encore très peu pour mettre en place des procédures de sécurité de base », déplore cet acteur historique du marché.
Compensation des pertes
En effet, les PME et ETI sont encore très mal couvertes pour lutter contre les attaques de pirates. Les statistiques manquent, mais à peine 8% des ETI et moins de 1% des PME disposaient d’une cyberassurance en 2020, selon les estimations de l’Association des entreprises du risque et de l’assurance (AMRAE), poursuivie en fin d’année dernière par Bercy.
Préoccupé par la vulnérabilité des entreprises, l’Etat a promis un plan d’action en 2021 pour favoriser le développement de cette assurance. Mais « aujourd’hui on ne peut pas assurer des personnes qui ne font pas le moins du monde pour se protéger », prévient Nicolas Kaddeche de la compagnie d’assurance Hiscox France.
Les assureurs peinent à appréhender le risque cyber, encore nouveau et évolutif, et craignent de devoir payer très cher en cas de cyberattaques. La facture peut vite grimper car les gros titres ne se contentent pas d’ouvrir le droit à une assistance technique pour aider les entreprises à remettre leurs systèmes informatiques sur les rails. Ils peuvent compenser les pertes financières causées par la paralysie de l’entreprise pendant plusieurs jours voire semaines.
Demandes inadaptées
Les assureurs, refroidis par les attaques majeures, augmentent leurs tarifs et limitent leur risque. C’est le cas d’Hiscox France : « Nous avons décidé d’être plus sélectifs et de limiter sévèrement l’inscription des entreprises de plus de 100 millions de chiffre d’affaires », explique Nicolas Kaddeche. « Pour ETI, obtenir une cyber-assurance devient très compliqué », note le courtier Antoine Giacomotto chez Ageo Assurances.
Dans tous les cas, ceux qui parviennent à signer le contrat ont dû montrer leurs références. En répondant à l’avance à une série de questions sur leur sécurité. Et en prouvant qu’ils ont pris des mesures de sécurité, avec des sauvegardes, des systèmes de double vérification d’identité pour accéder au système informatique, etc.
«Nous avons beaucoup de demandes de courtiers nous demandant de faire un pré-audit pour aider leurs clients à obtenir une cyber-assurance. Y compris les PME et les ETI », confirme Thibault Carré, expert cybersécurité chez Inquest (Groupe Stelliant).
Les exigences des compagnies d’assurance rendent parfois les gens fous. « Les exigences des grandes entreprises sont inadaptées au contexte du plus grand nombre d’ETI et de PME, avec des exigences de conformité démesurées », constate Alain Conrad, président de la commission numérique du Mouvement des moyennes entreprises (Meti). « Ce n’est pas à la portée de toutes les entreprises », note-t-il, exhortant les assureurs à « ajuster les spécifications », se disant confiant dans l’évolution de leurs positions.
Scan à distance
« Le problème, c’est que les assureurs traditionnels n’offrent pas de support technique », clame Jules Veyrat, fondateur du courtier spécialisé Stoïk, une insurtech qui a levé 3,8 millions d’euros en début d’année. Partenaire de la toute jeune compagnie d’assurance Acheel, la start-up propose à TOUS et PME de se couvrir après un ‘scan’ à distance de leur sécurité informatique grâce au logiciel.
D’autres acteurs relativisent la hauteur du pas qu’il faut franchir pour être sûr. Surtout pour ETI. « Il n’y a rien d’insurmontable pour le moment », assure Jean-Philippe Pagès, directeur du courtier d’assurances Bessé. « En quelques mois, l’ETI peut établir un diagnostic de ses vulnérabilités et de sa maturité cybersécurité puis mettre en place des mesures très concrètes de gestion et de prévention des risques qui lui permettront d’être performantes », précise-t-il.
Cependant, la mise à niveau requise dépend beaucoup de la taille des entreprises. « Pour les entreprises jusqu’à 10 millions de chiffre d’affaires, des solutions d’assurance avec une hygiène informatique minimale sont disponibles, et les procédures de souscription d’assurance sont relativement simplifiées. De plus, les assureurs sont de plus en plus exigeants », note Didier Seigneur, vice-président du courtier CRF Assurances.
Un coût à relativiser
Les petites entreprises peuvent être réticentes à dépenser de l’argent pour des mises à niveau de cybersécurité et une cyberassurance. « Si vous avez mis en place toutes les protections nécessaires – antispam, antivirus, sauvegarde hors ligne, etc. – et si vous cochez, tout cela revient à TPE deux jours de trafic annuel la première année et un jour de trafic ensuite », précise Marc Bothorel, délégué cybersécurité de la Confédération nationale des petites et moyennes entreprises.
Lui-même à la tête d’une petite société informatique à Esson, Starware Micro Services (700 000 euros de chiffre d’affaires), son contrat cyber lui coûte 600 euros par an, contre 1 400 euros pour sa responsabilité civile professionnelle – « ce n’est rien, même pas le coût d’une journée travailler pour un de mes ingénieurs », dit-il. « Je n’ai qu’un conseil : dans un contexte international tendu, prenez vos gardes aujourd’hui, car demain il sera trop tard », insiste-t-il.
La cybermenace est élevée avec la guerre en Ukraine
La guerre en Ukraine et l’état actuel d’incertitude géopolitique suscitent une fois de plus l’inquiétude des entreprises face à l’aggravation de la cybermenace. Selon une enquête publiée fin mai par le Club des experts de la sécurité de l’information et du numérique (Cesin) et réalisée par OpinionWay auprès de 300 PME et ETI réalisant un chiffre d’affaires supérieur à 15 millions d’euros, 59% d’entre elles « craignent une augmentation des cyberattaques ». C’est particulièrement vrai pour les ETI et les PME de plus de 100 millions d’euros de chiffre d’affaires. Parmi les entreprises interrogées, 45% ont renforcé leur système de cybersécurité depuis le début du conflit ou sont en train de le faire.