Tribune de Jérôme Robin, fondateur de Nousassurons.
La défense numérique est un sujet de plus en plus préoccupant au niveau Européen comme en témoigne l’adoption par la Commission européenne mi-avril du « Cyber Solidarity Act », un projet de règlementation qui prévoit la création d’un « bouclier cyber européen », capable de mieux détecter les attaques en amont, et d’une « armée cyber, prête à intervenir à la demande de tout État membre ».
Le nombre de cyberattaques en hausse depuis la pandémie
Depuis le début de la pandémie, le nombre de cyberattaques a fortement augmenté, notamment suite à l’adoption massive du télétravail. D’après le Baromètre de la cybersécurité en entreprise CESIN 2022, plus d’une entreprise française sur deux (54%) a été victime d’au moins une cyberattaque au cours de l’année 2021. La France est l’un des pays les plus touchés d’Europe, juste derrière les Pays-Bas. Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI) les attaques par rançongiciel - ou ransomware - contre les entreprises françaises, c’est-à-dire la prise d’otage des données d’une entreprise contre une rançon, ont augmenté de 255% en 2020 par rapport à 2019. En 2021, 1 entreprise sur 5 a ainsi été victime d’une attaque par ransomware, soit le taux le plus important d’Europe.
Si l’on ne dispose pas de chiffres récents, on sait que la guerre en Ukraine a également contribué à l’accroissement du nombre et de la gravité des cyberattaques.
Un risque cyber plus élevé que le risque d’incendie
Toutes les entreprises, quelle que soit leur taille, dès lors qu’elles sont informatisées, sont potentiellement concernées par le risque cyber et en particulier les PME et les micro-entreprises qui représentent près de 70% des notifications de violations de données personnelles notamment liées à du piratage informatique contre 6% pour les grandes entreprises.
Trop peu d’entreprises sont couvertes pour le risque cyber car cela représente un coût supplémentaire. Le risque de piratage informatique est pourtant désormais plus élevé que le risque incendie, avec en outre des conséquences plus importantes car contrairement à un incendie qui ne touchera qu’un entrepôt ou un bureau, une cyber-attaque peut toucher l’ensemble du réseau et donc tous les sites d’une même entreprise. Le coût global d’une attaque, incluant la perte d’exploitation, les destructions des outils informatiques, la fuite de données et l’impact en termes d’image atteint entre 30.000 et 60.000 € par entreprise avec une perte moyenne de chiffre d’affaires de près de 30%.
S’assurer contre les risques cyber, une nécessité pour protéger son activité
Pour autant, d’après la direction générale du Trésor, l'assurance cyber ne représente que 3% des cotisations en assurance dommage des professionnels, alors que ce risque s’accroît chaque année, et concerne toutes les entreprises. Les dirigeants d’entreprises et notamment des TPE/PME n’ont pas toujours conscience des risques, alors qu’ils sont pleinement concernés, et les moins protégés !
L’assurance cyber prend en charge l’ensemble des conséquences et dommages liés à la cyber-attaque : les dommages liés à l’infection et la destruction des outils informatiques de l’entreprise mais aussi la Garantie responsabilité civile qui est utile en cas de recours des clients affectés et également une couverture de la perte d’exploitation déterminée en fonction du niveau de blocage lié à l’attaque.
Paiement de rançon
Concernant le paiement de rançon, fin 2022, le gouvernement s’est prononcé en faveur de la prise en charge par les assurances des rançons payées par les entreprises visées par cyberattaques, à condition qu'elles portent plainte. A ce jour, certaines compagnies d’assurance, prennent en charge la rançon et la cyber extorsion, mais pas toutes. Par ailleurs, certaines compagnies vont plus loin et assurent également la fraude des emails, l’usurpation d’identité du dirigeant, les piratages des accès aux comptes ou la validation des virements…
En outre, via l’assurance cyber il est possible de bénéficier d’un audit gratuit pour analyser le système informatique, l’améliorer et en réduire les failles. Cette prévention permet ainsi de limiter les risques dont les coûts et l’impact en termes d’images vont parfois au-delà de ce qui sera indemnisé…
