Les PME ont de plus en plus recours aux cyber-assurances

À l'ère de la révolution du numérique, la cyber-criminalité est un enjeu plus réel que jamais pour les entreprises. Si les grandes entreprises ont toujours été les cibles privilégiées des hackers et autres cyber-criminels, les PME représentent des cibles plus faciles pour plusieurs raisons : elles sont moins bien sensibilisées et protégées que leur consœurs de plus grand format.

Les cyberattaques en France en quelques chiffres

Tout d'abord, qu'est-ce qu'une cyberattaque ? L'idée est simple : c'est une atteinte à des systèmes informatiques à des fins malveillantes. Il en existe 4 types : la cybercriminalité, l'atteinte à l'image, l'espionnage et le sabotage. Peut-être que certains ont déjà entendu parler d'un « ransomware », un logiciel de rançon qui prend en otage des postes informatiques ou des données tant qu'une rançon n'a pas été versée. Toutes ces attaques peuvent affecter différemment une entreprise et être effectuées avec différents objectifs. Il arrive même parfois que certains pirates informatiques attaquent une entreprise pour simplement « tester leurs skills » ou dans une optique de divertissement.

En France comme dans le monde, on constate une recrudescence phénoménale des cyberattaques. Ces quelques chiffres sont explicites :

• 66% des PME du monde entier ont signalé au moins une cyberattaque entre les mois d'octobre 2018 et 2019, d'après l'étude « Global State of SMB Cybersecurity report 2019 » publiée par le Ponemon Institute pour le compte de Keeper Security. 76% d'entre elles sont américaines.
• 63% des organisations déclarent avoir perdu des renseignements de nature délicate dans leur entreprise ou sur leurs clients, toujours durant la même période et selon la même étude. Ce chiffre atteint 69% pour les États-Unis, soit 50% de plus qu'il y a 4 ans. Les attaques en Europe sont également en hausse.
• 700 millions d'euros : c'est le coût de la cybercriminalité pour les PME, d'après une enquête de terran menée par l'IRT SystemX.
• 67% des entreprises ont été la cible d'une ou plusieurs attaques entre août 2018 et août 2019, selon le rapport Cyber Hiscox Europe 2019.
• 327 797 € : c'est la moyenne des pertes financières dues à l'ensemble des cyber-incidents en France, toujours selon le même rapport.
• 97 717 € : c'est le coût moyen d'une cyberattaque en France. C'est une augmentation de 125% par rapport à 2018 (moyenne à 43 528 € à ce moment).
• 12% des entreprises françaises n'ont toujours pas assigné de rôle en matière de cybersécurité.
• 92% des entreprises interrogées pour la confection de la 3e édition du baromètre annuel du CESIN (Club des Experts de la Sécurité de l'Information et du numérique) reconnaissent déjà avoir subi une ou plusieurs cyberattaque.
• 48% : c'est le taux d'augmentation du nombre d'attaques, toujours selon le baromètre du CESIN.
• 25% de ces entreprises constatent un impact sur leur activité.

En outre, on peut apprendre via le baromètre de l'assureur Allianz Global Corporate & Specialty que le cyber-risque est le premier sujet d'inquiétude des entreprises en France. À ce stade, souscrire à une assurance cyber-risques est plus qu'une simple question de prudence.

Les souscriptions de cyber-assurances en hausse

Ainsi, il apparaît dans l'ordre des choses que les souscriptions d'assurances cyber-risques soient en forte hausse. En France, le marché dans ce secteur est en pleine mutation. Désormais, pléthore d'assureurs proposent des contrats de cyber-assurances, les géants (Axa, Matmut, Allianz...) comme de plus petites entreprises et start-ups. D'après le 3e baromètre du CESIN, les souscriptions auraient bondi au cours des deux dernières années. Aux États-Unis, c'est un marché solide qui s'élève déjà à 3 milliards de dollars.

Cependant dans l'Hexagone, seules 40% des entreprises bénéficieraient d'une couverture spécifique contre les cyberattaques. Il faut en effet bien distinguer les garanties présentes dans les assurances multirisques ou « tous risques informatiques » des cyber-assurances. Les contrats « tous risques informatiques » prennent en compte :

• les risques matériels tels que les dégâts pouvant être occasionnés sur le hardware (ndlr : les machines, les dispositifs physiques),
• les risques immatériels, i.e. la perte de données par exemple.

Notons toutefois que la relative nouveauté de ces risques, problématiques et enjeux limitent nécessairement l'assurabilité. Nous nous trouvons toujours dans une « phase de test », où certains sinistres restent complexes à évaluer. Précisons encore que des entreprises craignent parfois de mettre en danger leur réputation en confiant à un tiers les incidents informatiques.