Les lents progrès de l’assurance cyber des PME-TPE

« Nous avons vite compris qu’il s’agissait d’un accident très grave », se souvient Gilles Gault, directeur général d’une entreprise d’expertise comptable et de conseil de 700 salariés en Nouvelle-Aquitaine. Ce week-end d’octobre 2020, un opérateur informatique constatait un affichage anormal sur ses écrans ; le lundi matin, tous les serveurs de la société étaient à l’arrêt.

Lire aussi : Article réservé à nos abonnés Cybercriminalité : la quête de la « faille »

L’origine de la cyberattaque sera rapidement identifiée : un salarié a ouvert par mégarde un fichier joint à un courrier électronique, permettant à un virus de contaminer tout le système informatique. Suivront une semaine de gestion de crise en urgence et deux mois pour parvenir à un rétablissement complet des systèmes. Une période qui aurait pu être plus longue encore si l’entreprise n’avait pas souscrit un contrat d’assurance contre les risques « cyber », ce qui a permis l’intervention très rapide d’un prestataire spécialisé.

« Ils ont joué le rôle d’urgentistes intervenant sur le lieu de l’accident », résume M. Gault. « Les premières heures sont cruciales », ajoute Romuald Blondel, directeur général de Cybex, ce prestataire. « Si l’on ne prend pas les premières mesures en moins de quatre heures, on risque des phénomènes qui aggravent l’impact de l’incident et compliquent les investigations. »

Ce type de crises dans des petites et moyennes entreprises (PME), voire des très petites (TPE), les assureurs et leurs prestataires en traitent jusqu’à plusieurs dizaines par jour. Pourtant, l’assurance cyber reste encore peu répandue. Selon l’étude annuelle de l’Association pour le management des risques et des assurances de l’entreprise, publiée en mai, le taux de couverture n’était, en 2022, que de 3,2 % pour les PME et de 0,2 % pour les microentreprises contre 94 % pour les trois cents principaux groupes français.

Lire aussi : Article réservé à nos abonnés « Le marché de la couverture cyber reste embryonnaire face à une menace systémique »

Le dynamisme du marché des grandes entreprises explique en grande partie la croissance de plus de 50 % du marché français de l’assurance cyber en 2022, avec 327 millions d’euros de primes collectées. Cependant, dans les PME et les TPE, les progrès sont encore lents, alors que les risques, eux, sont en augmentation constante.

Quatre types d’escroqueries restent prédominants : les virus, le hameçonnage (phishing) – des messages tentent de conduire leur destinataire à communiquer des données confidentielles –, la « fraude au président », lors de laquelle un escroc usurpe l’identité d’un dirigeant de l’entreprise pour faire effectuer un virement à son profit, et les rançongiciels (ransomwares), qui cryptent toutes les données de l’entreprise, puis exigent le paiement d’une rançon en échange d’une clé de déchiffrement.

Il vous reste 70% de cet article à lire. La suite est réservée aux abonnés.