Les lents progrès de l’assurance cyber des PME-TPE à Toulouse Perpignan et Montpellier

« Nous avons vite compris qu’il s’agissait d’un accident très grave », se souvient Gilles Gault, directeur général d’une entreprise d’expertise comptable et de conseil de 700 salariés en Nouvelle-Aquitaine. Ce week-end d’octobre 2020, un opérateur informatique constatait un affichage anormal sur ses écrans ; le lundi matin, tous les serveurs de la société étaient à l’arrêt.

L’origine de la cyberattaque sera rapidement identifiée : un salarié a ouvert par mégarde un fichier joint à un courrier électronique, permettant à un virus de contaminer tout le système informatique. Suivront une semaine de gestion de crise en urgence et deux mois pour parvenir à un rétablissement complet des systèmes. Une période qui aurait pu être plus longue encore si l’entreprise n’avait pas souscrit un contrat d’assurance contre les risques « cyber », ce qui a permis l’intervention très rapide d’un prestataire spécialisé.

« Ils ont joué le rôle d’urgentistes intervenant sur le lieu de l’accident », résume M. Gault. « Les premières heures sont cruciales », ajoute Romuald Blondel, directeur général de Cybex, ce prestataire. « Si l’on ne prend pas les premières mesures en moins de quatre heures, on risque des phénomènes qui aggravent l’impact de l’incident et compliquent les investigations. »

Ce type de crises dans des petites et moyennes entreprises (PME), voire des très petites (TPE), les assureurs et leurs prestataires en traitent jusqu’à plusieurs dizaines par jour. Pourtant, l’assurance cyber reste encore peu répandue. Selon l’étude annuelle de l’Association pour le management des risques et des assurances de l’entreprise, publiée en mai, le taux de couverture n’était, en 2022, que de 3,2 % pour les PME et de 0,2 % pour les microentreprises contre 94 % pour les trois cents principaux groupes français.

Le dynamisme du marché des grandes entreprises explique en grande partie la croissance de plus de 50 % du marché français de l’assurance cyber en 2022, avec 327 millions d’euros de primes collectées. Cependant, dans les PME et les TPE, les progrès sont encore lents, alors que les risques, eux, sont en augmentation constante.

Quatre types d’escroqueries restent prédominants : les virus, le hameçonnage (phishing) – des messages tentent de conduire leur destinataire à communiquer des données confidentielles –, la « fraude au président », lors de laquelle un escroc usurpe l’identité d’un dirigeant de l’entreprise pour faire effectuer un virement à son profit, et les rançongiciels (ransomwares), qui cryptent toutes les données de l’entreprise, puis exigent le paiement d’une rançon en échange d’une clé de déchiffrement.

« Excès de confiance »

« On voit se développer le “ransomware as a service” : des kits d’attaques vendus par des pirates sur le dark Web [l’Internet clandestin] et que n’importe qui peut acheter, ce qui réduit encore la probabilité de récupérer ses données après paiement d’une rançon, car les clés de déchiffrement ne fonctionnent pas forcément », explique Christine Sinibardy, directrice du risque cyber chez Axa France.

Cette « démocratisation » du rançongiciel s’est traduite par un bond de 50 % de ce genre d’attaques au premier semestre 2023, d’après Allianz Commercial. Pourtant, PME et TPE ont encore du mal à se considérer comme une cible. « On entend surtout parler des attaques visant des hôpitaux ou des collectivités locales ; cela conforte, chez les patrons de TPE et de PME, l’idée que le sujet ne concerne que les “grands” », souligne Marc Bothorel, référent cyber de la Confédération des petites et moyennes entreprises.

Au-delà, pour Christophe Madec, directeur de clientèle du courtier en assurances Bessé, « certaines entreprises ont encore du mal à projeter les risques sur leur propre organisation, parfois par excès de confiance dans les mesures qu’elles ont déployées, parfois par naïveté sur leur capacité de résilience ou par incompréhension ».

Le coût d’une assurance constitue, pour certaines petites entreprises, un frein supplémentaire à la souscription, même s’il peut ne représenter que quelques centaines d’euros par an pour une TPE, et quelques milliers pour une entreprise de plus grande taille. « C’est l’équivalent d’une prime en assurance de responsabilité civile professionnelle, que les entreprises de cette taille souscrivent facilement, alors qu’elles ne pensent pas forcément à l’assurance cyber », note Benjamin Langlet, responsable cyber de l’assureur Hiscox Assurances France.

« Ce coût est à rapporter au préjudice potentiel, qui peut se chiffrer assez vite en centaines de milliers d’euros, et autour du million pour des PME de taille plus importante : une entreprise victime d’une cyberattaque d’ampleur perd en moyenne 27 % de son chiffre d’affaires annuel », précise Diego Sainz, référent technique cyber du courtier Verspieren.

La plupart des contrats regroupent l’assistance, l’indemnisation des frais de restauration des systèmes et des données ainsi que celle des pertes d’exploitation. Certains proposent aussi une couverture en responsabilité civile si l’entreprise est mise en cause par ses fournisseurs ou ses clients. Pour les assureurs, le faible taux d’équipement du marché et l’augmentation de la sinistralité se sont traduits par des années difficiles, avec une activité cyber déficitaire, mais ce « hard market », dans le jargon du secteur, est révolu : en 2022, le rapport sinistres-primes, indicateur-clé de rentabilité, est repassé au vert.

« Tests de résistance »

L’environnement législatif est en outre plus favorable avec l’entrée en vigueur, en avril 2023, de la loi d’orientation et de programmation du ministère de l’intérieur (Lopmi), qui conditionne l’indemnisation au dépôt d’une plainte dans les soixante-douze heures suivant l’identification d’une attaque, et la transposition à venir en 2024 dans le droit français de la directive européenne NIS2, qui étendra les obligations de déclaration et de mise en œuvre de mesures de sécurité.

Ce contexte a d’ailleurs stimulé l’arrivée sur le marché de nouveaux acteurs spécialisés, des « assurtechs » comme Stoïk, Dattak ou Onda, qui se différencient, entre autres, par un parcours de souscription simplifié, en opposition aux questionnaires parfois jugés très complexes et exigeants imposés par certains assureurs historiques.

Car, pour être assurable, une entreprise, même unipersonnelle, doit répondre à des prérequis en matière de « robustesse » de ses systèmes et d’« hygiène informatique ». Or, beaucoup de TPE et de PME n’ont pas encore généralisé les mots de passe complexes, l’authentification multifacteur (MFA, qui complète le mot de passe par une identification biométrique ou un code temporaire), les mises à jour systématiques de leurs logiciels ou la généralisation de sauvegardes protégées de leurs données.

Autant de routines auxquelles veillent assureurs et courtiers, qui effectuent parfois des « tests de résistance » des systèmes à protéger avant la souscription. « Ça bouscule un peu les chefs d’entreprise, qui se rendent compte de certains manquements. Certains font les gros yeux dès les premières questions », observe Thomas Schramme, directeur entreprises et collectivités de l’assureur Groupama.

Ces réticences semblent souvent décalées par rapport à la réalité des sinistres. M. Schramme cite le cas d’une entreprise prise pour cible par un ex-salarié après son licenciement, car elle n’avait pas supprimé ses droits d’accès au système informatique, celui du patron d’une TPE du bâtiment qui utilisait son ordinateur à la fois pour son travail et sa vie personnelle, et dont la fille avait téléchargé un virus en jouant sur Internet, ou encore cette PME de garages victime d’un rançongiciel et qui n’avait aucune sauvegarde de ses données.

Face à ces failles encore très répandues, tous les acteurs du secteur mettent en avant l’importance de la prévention, qui passe par l’information et la formation des salariés, et des mises à l’épreuve régulières des capacités de résistance des entreprises par la simulation d’attaque. « Nous permettons à nos clients d’envoyer à tous leurs salariés de faux messages pour les tester, remarque Jules Veyrat, cofondateur de Stoïk. Ceux qui se font avoir ont droit à une petite formation. »