Selon Cybermalveillance.gouv.fr, agence nationale positionnée dans l'assistance et la prévention en cybersécurité, « Avec plus de 4 millions d'entreprises, les TPE-PME constituent 99 % du tissu économique français. Or, si les cyberattaques n'épargnent aucun secteur d'activité ni type d'organisation, quelle que soit leur taille ou leur nature, les TPE-PME ne semblent pas avoir mis en place les mesures nécessaires à leur protection cyber et paraissent, de ce fait, bien moins armées. Elles représentent ainsi une cible de choix pour les cybercriminels ».
15 % des TPE-PME victimes d'une attaque dans l'année
Une étude de Cybermalveillance.gouv.fr (1) révèle que 62 % des TPE-PME pensent être faiblement exposées aux attaques ou ignorent y être exposées et que 78 % de ces structures déclarent ne pas être préparées à une attaque ou ne savent pas si elles sont préparées à ce type d'incident. Mais le constat est là : 15 % des TPE-PME indiquent avoir été victimes d'une cyberattaque au cours des 12 derniers mois et 65 % précisent qu'elles ne sont pas capables d'en évaluer les impacts. En matière de budget consacré par les entreprises de cette taille aux risques cyber, sept sur dix allouent moins de 2 000 € par an à ce poste et 10 % prévoient d'augmenter le budget dédié à la cybersécurité. Paradoxalement, plus de neuf entreprises sur dix de cette taille craignent une destruction ou un vol de données (94 %), une perte financière (94 %) et une interruption d'activité (90 %), voire une atteinte à la réputation (80 %).
Agir en prévention, la solution
En octobre dernier, l'agence Cybermalveillance.gouv.fr s'est associée à d'autres acteurs en vue de lancer une campagne de communication dont l'objectif est de convaincre les TPE-PME de passer à l'acte en renforçant leur sécurisation. Dans le cadre de cette campagne, Cybermalveillance.gouv.fr met à disposition des dirigeants de TPE et PME un « mémento de la cybersécurité », téléchargeable en ligne (2). Ce document présente plusieurs témoignages dont celui de la directrice d'une agence d'événementiel employant huit personnes qui, après avoir ouvert la pièce jointe infectée d'un e-mail qu'elle pensait avoir été envoyé par un client, se retrouve dans une situation catastrophique : ce simple geste entraîne le déclenchement d'un virus et la perte de l'intégralité du travail de préparation d'un événement que l'agence a été chargée d'organiser. Les sauvegardes informatiques ne fonctionnent pas et l'entreprise n'est pas en mesure de tenir son engagement vis-à-vis de son client. Autre incident survenu aussi dans une TPE : une entreprise de BTP a été victime d'une fraude après qu'un salarié ait communiqué les identifiants d'une boîte e-mail dans un message de demande de connexion. Une fois ces informations obtenues, un escroc a falsifié le relevé d'identité bancaire de l'entreprise et a détourné à son profit des règlements dus par l'entreprise. On le voit, les répercussions d'une cyberattaque peuvent être très dommageables pour une entreprise. Dans les cas extrêmes, elles peuvent amener l'entreprise jusqu'à mettre la clé sous la porte.
Un quart d'incidents en moins grâce à la prévention
C'est pourquoi les TPE, comme les entreprises plus grandes, doivent se protéger contre la cybercriminalité. Afin de réduire les accidents de ce type, le moyen le plus efficace est d'agir en prévention. Une étude du cabinet KPMG publiée en 2022 a d'ailleurs démontré que 63 % des TPE et des PME qui sensibilisaient leur personnel et investissaient dans la prévention réduisaient en moyenne les risques d'incident cyber de 25 %.
Le site de l'agence Cybermalveillance.gouv dresse la liste des actions à mener pour qu'une entreprise soit plus résiliente à ces risques. Entre autres, il s'agit d'adopter des bonnes pratiques pour protéger l'identité numérique, d'apprendre à bien gérer les mots de passe, de sécuriser les réseaux sociaux, de procéder systématiquement aux mises à jour informatiques afin de ne pas s'exposer à des failles de sécurité ou encore de séparer les usages du numérique entre la vie professionnelle et personnelle.
Les plus petites entreprises très peu assurées
Depuis 2024, certaines catégories d'entreprises ont l'obligation de souscrire une assurance cyber : les entreprises de plus de 205 salariés dont le chiffre d'affaires annuel est supérieur à 50 millions d'euros, les entreprises traitant des données sensibles comme le définit le Règlement général de la protection des données (RGPD), les opérateurs d'importance vitale (OIV) et les opérateurs de services essentiels (OSE). Selon un rapport de la Direction générale du Trésor publié en septembre 2022, 84 % des grandes entreprises avaient contracté une assurance contre les risques cyber, 9 % des ETI (entreprises de taille intermédiaire) étaient équipées d'une telle couverture en 2021. Quant aux PME, leur taux de couverture était inférieur à 0,3 %.
Risques couverts par une assurance cyber
Si l'entreprise en a les moyens, il est recommandé de contracter une assurance cyber. Cette dernière protège contre les interruptions d'activité suite à un incident cyber, les violations de données personnelles, les attaques par déni de service (DdoS ou surcharge des serveurs pour rendre un site web ou un service inaccessible), le vol ou la perte de données, les ransomwares (logiciels malveillants bloquant l'accès aux fichiers en échange d'une rançon) et les autres formes d'extorsion numérique. Elle est aussi effective contre les dommages à la réputation après une cyberattaque. En cas d'attaque, des frais de gestion de crise sont pris en charge par l'assurance pro et un accompagnement par un prestataire spécialisé est prévu.
Des solutions adaptées à la taille de l'entreprise
Plutôt qu'investir dans une assurance cyber, une entreprise préférera peut-être faire un autre usage de son argent. Cependant que, pour ces risques relativement récents, les assureurs affûtent leurs propositions au fur et à mesure qu'ils renforcent leur connaissance et ils ont conçu des solutions en fonction de la taille de l'entreprise. Avant de souscrire une assurance, il est important d'agir en amont par la prévention car si une entreprise n'a pas suivi cette démarche, elle peut se voir refuser l'accès à l'assurance. En effet, les assureurs peuvent exiger qu'une entreprise respecte des pré-requis techniques avant d'accepter de l'assurer contre les risques cyber. Les événements cyber de tous types avaient fortement augmenté ces dernières années dans la foulée de la crise liée au Covid. Toutefois, en 2023, il y a eu quasiment moitié moins de sinistres (- 46 %) dans les entreprises qui étaient assurées contre ces risques, selon l'Amrae (Association pour le management des risques et des assurances de l'entreprise).
Des cyber-incidents potentiellement coûteux pour les assureurs
Les assureurs craignent d'avoir à prendre en charge un grand nombre de sinistres dont le coût peut vite s'envoler, deux ou trois incidents majeurs survenus dans de grandes entreprises pouvant s'avérer extrêmement coûteux. A titre indicatif, une entreprise dont le chiffre d'affaires est inférieur à 2 M€ peut souscrire une couverture de 350 000 € avec une franchise de 1 000 € pour une prime de 500 € (valeurs indicatives moyennes de primes par an), selon une étude de l'Amrae.
(1) Étude conduite en ligne (CAWI) par Opinion Way pour Cybermalveillance.gouv.fr du 10 juin au 16 juillet 2024 auprès d'un échantillon de 513 entreprises interrogées en France métropolitaine et dans les départements et régions d'Outre-Mer
(2) Le mémento de cybersécurité est téléchargeable via le lien suivant : https://www.cybermalveillance.gouv.fr/medias/2024/09/20240926Memento_ImpactCYBER_SCREEN.pdf
