Cybersécurité : pour que PME et ETI ne tombent pas du côté obscur

La menace fantôme

Mai 2017, la cyberattaque mondiale WannaCry* affectait plus de 300 000 ordinateurs dans le monde. Organismes d’État, grandes entreprises, bibliothèques de quartier ou encore hôpitaux avaient été visés par ce qu’on appelle un « ransomware », c’est à dire un virus qui prend en otage les données informatiques et les libère contre le versement d’une rançon. Par son ampleur, cette attaque avait sidéré le monde. Elle avait surtout révélé une menace de plus en plus inquiétante : la montée en flèche de ces « rançongiciels » dont le nombre a été multiplié par 150 entre 2012 et 2016. « Toutes les entreprises sont concernées par le risque de cyberattaques », signale Jean-Luc Montané, Directeur des assurances IARD d’Entreprises d’AXA France. « Selon une enquête OpinionWay / Cesin, 80 % des entreprises ont subi au moins une cyberattaque en 2016. » Et beaucoup de ces entreprises ne sont pas préparées. Notamment, les PME et ETI qui ne disposent pas des mêmes moyens que les grandes entreprises pour mettre en place des systèmes de protection. Côté pertes, les chiffres sont colossaux : selon le cabinet d’audit PwC, elles vont jusqu’à 2,25 millions d’euros par an, rien qu’en France. Et elles ont augmenté de 50 % entre 2016 et 2017. Tant et si bien que la Lloyds, grand acteur londonien de l’assurance compare le risque des cyberattaques à celui… des catastrophes naturelles.

Le réveil de la force citoyenne

Pour répondre à l’urgence, les idées fusent. Sur la plateforme de crowdsourcing MonAssuranceCitoyenne.com d’AXA, où les internautes sont invités à faire connaître leurs idées pour améliorer l’assurance, l’un des participants, FDISI16 propose : « Si mon système informatique fait l’objet d’une attaque malveillante, mon activité ne peut tourner qu’au ralenti. J’aimerais ainsi une assurance indemnisant ma perte de chiffre d’affaires le temps de la réparation. » Ou encore, GAD03 : « Que mon assurance me propose (et peut-être même de façon systématique ?) une protection de ma e-réputation. On ne sait jamais, personne n’est à l’abri d’un client, d’un salarié, d’un associé, voire d’un concurrent grognon ! Pourquoi pas un package incluant également une protection de mes données ? ».

Conscients des attentes et des besoins des chefs d’entreprises, en amont comme en aval des attaques, les assureurs ont déjà mis en place des programmes d’accompagnement : « Depuis trois ans, nous proposons à nos clients des analyses de sécurité de leurs systèmes informatiques », rappelle Jean-Luc Montané. « Nous les informons sur les risques, sur la législation. Et bien sûr, nous les accompagnons dans l’installation de dispositifs de sécurité adaptés ». Pour inciter les entreprises à protéger leurs données, des réductions sur les primes d’assurance sont d’ailleurs accordées lorsque des systèmes de sécurité efficaces sont installés. En somme, informer, préparer et éduquer aux nouveaux risques liés au digital fait désormais partie des missions de l’assureur.

Et lorsque la prévention a échoué… l’assurance contre-attaque

Par exemple, pour contrer les cyberattaques et venir en aide aux entreprises victimes, AXA propose une offre spécifique baptisée « Cyber Secure ». « Celle-ci combine une garantie qui vient indemniser l’entreprise victime d’une attaque et un service de gestion de crise pour relancer l’activité », énumère Jean-Luc Montané. Ce service offre différentes aides comme un travail sur l’e-réputation (une entreprise victime d’une cyberattaque enregistre une perte de confiance), la reconstruction du système informatique (récupération des données…), une protection juridique et un service d’écoute par des psychologues. Jean-Luc Montané conclue : « En trois ans, l’offre a beaucoup évolué. Et nous continuons de nous adapter aux nouvelles conditions et attentes de nos clients. » La démarche semble logique car, aujourd’hui, les entreprises ne peuvent plus se contenter de sécuriser les portes et fenêtres de leurs locaux : les criminels ont trouvé un autre accès, bien plus efficace !