Sur 148 000 petites et moyennes entreprises (PME) en France, 1 sur 10 a déjà subi une cyberattaque. Dans une enquête publiée par l’IFOP commanditée par l’assureur Stoik, les résultats mettent en évidence la vulnérabilité des PME aux risques de cyberattaques. 67% des 400 entreprises interrogées sont conscientes de leur vulnérabilité. Interrogé par Siècle Digital, Jules Veyrat, l’un des fondateurs de la compagnie d’assurance, déclare vouloir aider les PME à comprendre les risques et les aider.
Les PME attendent d’être attaquées pour mieux se protéger
Au cours des 12 derniers mois, 6 000 PME ont été attaquées par des hackers. La plupart d’entre eux sont victimes de ransomwares. Cela implique de s’introduire dans le système informatique d’une entreprise pour exiger de l’argent pour ses données. En 2021, le coût de ce type de piratage était de 6 000 milliards de dollars dans le monde. En France, le nombre de signalements sur la plateforme gouvernementale cybermalveillance.gouv.fr a augmenté de 65% par rapport à 2020, avec 173 000 requêtes.
Dans l’ensemble, 69 % des PME ne pensent pas être une cible potentielle pour les pirates. Plus de 89% des entreprises estiment que leurs données sont bien protégées. Pour Philippe Cotelle, administrateur de l’Association pour la gestion des risques et des assurances des entreprises (AMRAE), sollicité par Siècle Digital, « ces données sont importantes, elles montrent que le phénomène de prise de conscience doit être construit. Si vous pensez que vous n’êtes pas une cible, quel est l’intérêt d’investir dans votre protection. »
Cette méconnaissance des risques expose 67% des PME au risque cyber. Les intrusions informatiques peuvent être dévastatrices pour les opérations d’une entreprise. L’exemple de Camaïeu, dans la colonie, est éloquent. L’entreprise a subi une cyberattaque majeure en 2021 qui a pratiquement paralysé ses opérations pendant quatre mois.
Pour éviter un tel sort, les résultats de l’enquête IFOP montrent que plus de 62% des PME souhaitent que les compagnies d’assurances paient l’intégralité de la rançon en cas d’attaque. Rien ne l’interdit, Stoi, par exemple, couvre les sauvetages. Cependant, la législation en cours d’adoption par la LOPMI devrait clarifier le débat. L’AMRAE recommande toutefois de payer : « Les entreprises ne sont pas du tout sûres de récupérer leurs données, et s’exposent à une nouvelle attaque », souligne Philippe Cotell.
Avant de poursuivre, nous devons avertir que les PME ont besoin d’une meilleure protection. Malheureusement, il faut le vivre souvent pour s’en rendre compte, plus de 58% des entreprises sondées qui ont déjà été victimisées ont peur d’être la proie. En revanche, 94% des entreprises parmi elles se sentent plus en sécurité grâce aux mesures prises maintenant. « Cette protection améliorée vient de résoudre deux points d’entrée pour les pirates. Le premier est une erreur technique, et le second est une erreur humaine », explique Jules Veyrat.
Les trois quarts des PME attendent un meilleur accompagnement de leur assureur pour se préparer. Aujourd’hui, les compagnies d’assurance garantissent généralement un support technique pour corriger les vulnérabilités informatiques de leurs clients avant et après une attaque. Un point que l’AMRAE tient à souligner sur l’assurance, « l’assurance ne sert pas qu’à couvrir les problèmes financiers. D’une part, c’est une composante du service d’assistance technique, au moindre doute d’intrusion, et d’autre part, d’assistance juridique. Les démarches pour justifier l’attaque de ses données sont très coûteuses. »
Avec cette étude, Stoïk veut montrer que ses produits sont en phase avec cette attente. Comme le précise Jules Veyrat, « Chez Stoïk, nous proposons des solutions abordables pour prévoir les pannes. Nous avons des outils hebdomadaires d’analyse de l’infrastructure informatique et de sensibilisation au phishing. »
La question du prix est évidemment centrale et s’ajoute à la méconnaissance de la question. L’AMRAE affirme que contrairement aux grandes entreprises, les PME n’ont pas toujours les moyens de se protéger. Ni l’habileté à trier la variété des offres. De ce fait, « le taux de pénétration de l’assurance dans les PME est encore très faible », souligne Philippe Cotell.
Il existe des moyens d’améliorer la situation. L’administrateur de l’AMRAE, président de sa commission cyber, confirme qu’il existe un projet avec l’ANSSI [Agence Nationale de la Sécurité des Systèmes d’Information] pour mettre en place un portail gouvernemental gratuit permettant aux entreprises de tester leur statut de vulnérabilité. « Philippe Cotelle va plus loin, il prévient que les entreprises comme l’automobile devraient passer par un « contrôle technique » tous les deux ans pour prendre conscience de leur vulnérabilité. L’AMRAE serait également favorable à des aides d’Etat pour inciter les entreprises à s’assurer contre les risques cyber.