Sur les 148 000 petites et moyennes entreprises (PME) françaises, 1 sur 10 a déjà subi une cyberattaque. Dans une enquête publiée par l’IFOP commandée par l’assureur Stoïk, les résultats mettent en avant la faiblesse des PME face aux risques de cyberattaques. Sur les 400 entreprises interrogées, 67 % sont conscientes de leur vulnérabilité. Interrogé par Siècle Digital, Jules Veyrat, un des fondateurs de la société d'assurance, affirme vouloir aider les PME à prendre conscience des risques et les accompagner.

Les PME attendent d’être attaquées pour mieux se protéger

Au cours des 12 derniers mois, 6 000 PME ont été attaquées par des pirates. La plupart sont victimes de rançongiciel. Cela consiste à pénétrer le système informatique d’une entreprise pour lui demander de l’argent contre ses données. En 2021, le coût lié à ce type de piratage a été de 6 000 milliards de dollars à l’échelle mondiale. En France, le nombre de signalements sur la plateforme du gouvernement, cybermalveillance.gouv.fr, a augmenté de 65 % par rapport à 2020 avec 173 000 demandes.

Globalement, 69% des PME pensent pourtant qu’elles ne sont pas une cible potentielle des pirates. Plus de 89% des sociétés estiment même que leurs données sont bien protégées. Pour Philippe Cotelle, administrateur de l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE) sollicité par Siècle Digital « Ces données sont pertinentes, elles démontrent que le phénomène de prise de conscience est à construire. Si on pense que l’on n’est pas une cible à quoi bon faire des investissements pour se protéger. »

Ce manque de prise de conscience des risques expose 67 % des PME à un risque cyber. Les intrusions informatiques peuvent être dévastatrices pour l'activité d’une l’entreprise. L’exemple de Camaïeu, en liquidation judiciaire, est éloquent. L’entreprise a subi une importante cyberattaque en 2021 qui a quasiment paralysé ses activités pendant quatre mois.

Pour éviter pareil destin, les résultats de l'enquête de l’IFOP montrent que plus de 62% des PME veulent que les assurances payent l’intégralité de la rançon en cas d’attaque. Rien ne l'interdit, Stoïk, par exemple, couvre les rançons. Cependant la législation en cours d’adoption LOPMI doit éclaircir le débat. L’AMRAE déconseille pourtant de payer, « Les entreprises ne sont en aucun cas sûres de récupérer leurs données, et s’exposent à une nouvelle attaque » martèle Philippe Cotelle.

Avant d’agir, il faut prévenir, les PME doivent mieux se protéger. Malheureusement il faut bien souvent le vivre pour s'en rendre compte, plus de 58% des entreprises interrogées déjà victimes ont peur d’être à nouveau une proie. En réaction, 94% des sociétés d'entre elles se sentent désormais en meilleure sécurité grâce aux mesures adoptées. « Cette meilleure protection vient d’une correction des deux points d’entrée pour les pirates. La première est la faille technique, et la seconde l’erreur humaine » explique Jules Veyrat.

Les trois quarts des PME attendent un meilleur accompagnement de la part de leur assureur pour se préparer. Aujourd’hui, les assurances garantissent généralement une aide technique pour corriger les faiblesses informatiques de leurs clients avant et après une attaque. Un point sur lequel l’AMRAE aimerait qu’insistent les assureurs, « L’assurance ne sert pas juste à couvrir les problèmes financiers. C’est premièrement un volet de service d’assistance technique au moindre doute d’une intrusion, et secondement une assistance juridique. Les démarches pour justifier une attaque sur ses données coûtent très cher. »

Stoïk avec cette étude souhaite, justement, montrer que ses produits correspondent à cette attente. Jules Veyrat met en avant que « Chez Stoïk, nous proposons pour des tarifs abordables des solutions pour anticiper les failles. Nous avons un scan hebdomadaire de l'infrastructure informatique et des outils de sensibilisation au phishing. »

La question du prix est évidemment centrale et s’ajoute au manque de sensibilisation au sujet. l’AMRAE note que contrairement aux grandes entreprises, les PME n'ont pas toujours les moyens de se protéger. Elles n'ont pas, non plus, les compétences pour faire le tri entre la multiplicité d'offres. Conséquence, « Le taux de pénétration pour les assurances chez les PME est encore très faible » souligne Philippe Cotelle.

Des pistes pour améliorer la situation existent. L'administrateur de l'AMRAE, également président de sa commission cyber, confie l'existence d'un « projet avec l’ANSSI [Agence nationale de la sécurité des systèmes d'information] pour mettre en place un portail du gouvernement gratuit afin que les entreprises puissent tester leur état de vulnérabilité. » Philippe Cotelle va plus loin, il note que les entreprises à l’instar des voitures devraient être incitées à s'autoévaluer ( un « contrôle technique ») tous les deux ans pour être conscientes de leur vulnérabilité. L’AMRAE serait également en faveur d'une réflexion sur une potentielle aide de l'État dont la forme serait à définir pour accompagner les entreprises dans leur démarche de mise en place d'une gestion de risque cyber efficace.

Édit 7/12/2022 16h05 : précision sur les propos de Philippe Cotelle à propos d’une éventuelle aide d’État pour l’assurabilité des risques cyber.