De la grande multinationale au petit artisan local, aujourd’hui, toutes les entreprises utilisent internet à plus ou moins grande échelle, mais peu d’entre elles souscrivent une assurance cyber. Pourtant, en 2020, avec l’essor du e-commerce et du télétravail, le risque cybernétique est devenu le risque numéro 1 pour les entreprises. Une attaque informatique peut avoir de graves répercussions sur la santé de votre entreprise et même menacer sa survie. Plus de 70 % des entreprises touchées par une cyberattaque ne s’en remettent pas, faute bien souvent d’être couverte par une assurance adéquate.
Le risque cyber, une menace qui touche toutes les entreprises
En matière de cyberattaque, on pense souvent que cela ne nous concerne pas. Pourtant dans une société de plus en plus digitalisée et avec l’essor du télétravail, les attaques informatiques tendent à se multiplier depuis plusieurs années et elles peuvent toucher aussi bien des TPE que de grandes entreprises. Bien-sûr, le niveau de risque et donc les garanties nécessaires seront différentes selon la taille, les revenus et le secteur d’activité de l’entreprise.
Les grandes entreprises
87 % des grandes entreprises sont assurées contre les cyberattaques, mais le niveau de couverture de leurs polices d’assurance est bien souvent inférieur au risque encouru. En moyenne, les grandes entreprises sont assurées pour 38M€ contre les attaques cybercriminelles, alors qu’entre les pertes financières, les frais de gestion et l’impact sur la réputation, les conséquences d’une attaque informatique sur une grande entreprise peuvent se chiffrer en centaines de millions d’euros.
En 2017, par exemple, le réseau informatique du groupe Saint-Gobain a été infecté par le virus NotPetya. Le système de commande et de facturation numérique ont été bloqués et l’entreprise a essuyé une perte sèche de 220 M€ de chiffres d’affaires et de 80 M€ de perte de résultats. Malheureusement, Saint-Gobain n’était pas assurée contre les risques liés aux attaques cybernétiques.
Les ETI, entreprises de taille intermédiaire
En 2020, seules 8 % des entreprises réalisant entre 0 M€ et 1,5 Md€ de chiffre d’affaires disposaient d’une assurance contre le risque cyber. Pourtant, 76 % des dirigeants d’ETI déclarent avoir subi au moins un incident cyber en 2019. Là encore, même lorsqu’elles sont assurées, le niveau de couverture est généralement insuffisant par rapport aux conséquences financières d’une attaque informatique.
En novembre 2020, le laboratoire français de santé animale Ceva a été touché par un virus informatique qui a entraîné un ralentissement conséquent de l’activité de l’entreprise et une perte de chiffre d’affaires de plusieurs millions d’euros.
Les PME, TPE
Le taux de PME et de TPE assurées contre les cyberattaques est extrêmement faible. Seules 0,0026 % des très petites, petites et moyennes entreprises ont souscrit une assurance cyber auprès d’un courtier. Bien-sûr, dans beaucoup de cas, une option cyber dans l’assurance multirisques peut suffire. Mais la plupart des PME et des TPE n’ont aucun filet de sécurité en cas de cyber attaque.
Pourtant, même les petites entreprises peuvent être la cible des pirates. Ce fut le cas d’un viticulteur bourguignon dont le site a été inaccessible pendant cinq jours suite à un piratage informatique en pleine période des fêtes en décembre 2018, ce qui lui a coûté 12 % de son chiffre d’affaires annuel.
Des collectivités territoriales pas épargnées par les cyberattaques
Le taux de collectivités territoriales assurées contre les cyberattaques en France s’élève à environ 1 % — les grandes structures comme les régions et les métropoles étant plus assurées que les communes de petites tailles. Pourtant, les attaques cyber contre les mairies, les communautés de communes ou les conseils régionaux et départementaux ne sont pas rares.
Récemment encore, la mairie d’Erstein dans le Bas-Rhin et sa communauté de commune ont perdu plusieurs années de travail suite à un cryptage de leurs données par un ragongiciel.
Des attaques informatiques variées et de plus en plus sophistiquées
Lorsque l’on parle de couverture contre les risques liés à la cybercriminalité, il convient de préciser de quoi l’on parle. En effet, les pirates cyber font preuve d’inventivité et ont malheureusement plus d’un tour dans leurs sacs pour extorquer de l’argent en hackant les entreprises. On distingue néanmoins deux grandes catégories d’attaques informatiques : celles visant à dérober des données personnelles ou bancaires pour les monnayer et celles visant à bloquer le bon fonctionnement de l’entreprise pour obtenir une rançon.
Les différents types d’attaques qui menacent la cybersécurité de votre entreprise
- Un phishing : une attaque par e-mail, SMS ou message consistant à se faire passer pour une source de confiance et à inciter à partager des informations sensibles telles qu’un mot de passe ou un numéro de carte bancaire.
- Un rançongiciel (ou ransomware) : un logiciel malveillant qui prend en otage les fichiers d’un ordinateur en les cryptant dans le but d’obtenir une rançon contre la restauration des données.
- Un virus informatique : un code malveillant se propageant par l’échange de données, le téléchargement de fichiers ou l’utilisation de supports physiques contaminés (clés USB, CD…) et visant à perturber le fonctionnement du système informatique.
- Un ver informatique : un logiciel malveillant qui se propage sur un réseau par courriel, messagerie instantanée, partage de fichiers ou consultation d’un site web afin d’infecter un maximum de systèmes, ralentir un réseau, dérober ou supprimer des fichiers.
- Un cheval de Troie : une application ou un programme malveillant prenant l’apparence d’un programme sûr dans le but d’infecter le système informatique avec un virus, un spyware ou un autre logiciel malveillant.
- Un spyware : un logiciel malveillant qui s’installe discrètement dans l’ordinateur via une faille de sécurité, un programme ou un logiciel gratuit dans l’optique de collecter des mots de passe, des numéros de carte bancaire ou des captures d’écran.
- Une attaque de mot de passe : l’utilisation de combinaisons automatiques visant à découvrir les mots de passe des d’utilisateurs d’un site internet ou d’une application de manière à usurper leurs identités, à faire chanter l’entreprise ou à organiser une arnaque.
- Une attaque par déni de service (DDoS Attack) : Saturation du système informatique par l’utilisation d’un grand nombre de robots aboutissant au blocage du serveur web, du serveur de fichier ou des boîtes mail.
- Unauthorized Access to Information : un accès non autorisé à des données confidentielles de l’entreprise grâce à une faiblesse du système informatique
- Un enregistreur de frappe : un type de spyware qui surveille l’activité de frappe de l’utilisateur dans le but de dérober des données sensibles.
- Un rootkit : un logiciel malveillant se propageant par le biais d’e-mails, de pièces jointes, de téléchargements ou de disques partagés compromis permettant aux pirates de prendre le contrôle de l’ordinateur à distance avec des droits administrateur complets.
- Des menaces persistantes APT (Advanced Persistent Threats) : une attaque cyber destinée à s’introduire discrètement dans le système informatique dans le but de dérober des informations ou de perturber le système sur le long terme.
- Une attaque de l’homme du milieu : l’exploitation des failles d’un réseau pour intercepter des échanges de façon à se faire passer pour l’un des interlocuteurs afin d’obtenir des informations confidentielles ou de bloquer le système.
Faut-il payer la rançon des pirates ?
L’une des armes les plus utilisées par les hackers qui s’attaquent aux entreprises françaises est le ransomware. D’ailleurs, la France est le deuxième pays touché par ce type d’attaque cyber. En 2020, 14 % des entreprises hexagonales ont été victimes de ransomware et 60 % d’entre elles ont payé une rançon. Pourtant selon le FBI, payer une rançon est une mauvaise idée. En effet, les pirates cyber respectent rarement leur parole : les entreprises ne retrouvent pas les données volées et le paiement de la rançon par les assurances, lorsque l’assurance couvre ce type de cyberattaques, entraîne une augmentation du coût des polices.
Certaines compagnies d’assurance, comme AXA, d’ailleurs, ont annoncé ne plus vouloir payer les rançons demandées par les pirates aux entreprises françaises, arguant qu’accepter les conditions des hackers entraînait un cercle vicieux et les incitait à commettre de nouvelles attaques. D’autres compagnies assurances continuent de proposer cette garantie, car pour certaines entreprises, payer la rançon reste le seul moyen de reprendre le cours de leur activité.
Pourquoi prendre une assurance contre les cyberattaques ?
Les cyberattaques : un coût élevé pour les entreprises
Les conséquences d’une cyberattaque sont multiples et bien souvent dramatiques. L’activité de l’entreprise peut être paralysée et la confiance des clients, des fournisseurs et des investisseurs, ébranlée.
Cela entraîne une perte du chiffre d’affaires ainsi que des frais d’expertise, des frais d’assistance informatique, des frais de notification et des frais judiciaires. Si les pirates ont détourné des fonds, il faut ajouter à cela des pertes pécuniaires directes. Et c’est sans compter ni les réclamations possibles des prestataires, des clients et des fournisseurs au titre de la responsabilité civile ni l’impact sur la réputation de l’entreprise. Bref, le coût d’une cyberattaque peut réellement fragiliser une entreprise. D’ailleurs, beaucoup d’entreprises victimes d’une cyberattaque ne survivent pas à celle-ci : plus de 70 % des établissements ayant perdu leurs données informatiques suite à une attaque font faillite dans les 12 mois qui suivent.
L’assurance cybernétique pour surmonter les cyberattaques
Comme nous l’avons vu, les attaques informatiques peuvent toucher tous types d’établissements. En souscrivant un contrat d’assurance contre le risque cyber avec des garanties adaptées aux besoins de votre entreprise, vous éviterez des conséquences possiblement catastrophiques si votre établissement est victime d’une attaque cyber.
Fin 2019, un grossiste alimentaire prospère spécialisé dans les produits bio lance un site internet pour vendre ses produits en direct. Dans la nuit du 1er juin 2020, un hacker exploite les failles du site pour déposer un logiciel malveillant et dérober toutes les données clients de l’entreprise. L’attaque discrète est détectée un mois plus tard par le prestataire informatique de l’entreprise à la suite d’une panne du site internet.
Heureusement, le grossiste avait souscrit un contrat d’assurance contre les risques cybernétiques. Il bénéficie donc des services d’un expert en cybersécurité qui l’aide à faire un état des lieux et à mettre en place les mesures appropriées pour gérer la crise : déclaration de la violation de données auprès de la CNIL, notification de la situation auprès des clients de l’entreprise, mise en place d’un numéro vert et d’une plateforme téléphonique. La compagnie d’assurance accompagne également la société dans ses démarches juridiques et met à sa disposition un spécialiste des fuites des données qui va vérifier si les données piratées n’ont pas été publiées sur le Web et si c’est le cas les supprimer.
Les bons gestes à adopter pour une protection optimale contre les cyberattaques
Même s’il est important de s’assurer contre les attaques cybercriminelles, il vaut toujours mieux prévenir que guérir. Pour réduire le risque de cyberattaque contre votre entreprise, il vous faut contrôler les accès, mettre en place des sauvegardes et optimiser la surveillance du système informatique. Pour cela, comme pour la lutte contre la Covid, il est nécessaire d’adopter et de faire adopter par vos employés des gestes barrières :
- Appliquer systématiquement les mises à jour de sécurité de votre système et des logiciels installés sur les ordinateurs de votre société.
- Garder votre antivirus et votre pare-feu à jour et les configurer de manière à ne laisser passer que des applications, services et machines légitimes.
- Se méfier des courriels vides, ayant un aspect inhabituel ou provenant de chaînes de messages ou d’expéditeurs inconnus. Éviter de les ouvrir ainsi que les pièces jointes et les liens qu’ils peuvent contenir.
- Éviter d’installer des applications ou des programmes piratés ou dont l’origine n’est pas certifiée.
- Sauvegarder régulièrement les données de votre système afin de pouvoir le réinstaller en cas d’attaque sans payer la rançon des hackers.
- Éviter de naviguer sur des sites non sécurisés : les sites dont l’adresse commence par http au lieu d’https, les sites hébergeant du contenu piraté.
- Utiliser des mots de passe complexes, changer les mots de passe par défaut et éviter d’utiliser le même mot de passe pour plusieurs sites ou applications.
- Éviter de surfer sur internet ou de consulter sa messagerie depuis un compte avec des droits « administrateur ».
- Éteindre les ordinateurs lorsque vous ne vous en servez pas.
Vous trouverez d’autres conseils et notamment un kit de sensibilisation au risque numérique sur le site Cybermalveillance.gouv.fr, un site créé en juillet 2020 par le gouvernement français afin d’aider les petites entreprises à faire face aux cyberattaques.
Comment choisir son assurance cyber ?
À chaque entreprise, sa police d’assurance cyber contre la cybercriminalité
Le risque zéro n’existant pas, il est important de combiner les précautions énumérées précédemment avec une assurance contre le risque cybernétique adaptée aux besoins de votre société ou de votre établissement. En effet, si les attaques informatiques peuvent toucher tout type de structure, le niveau de risque varie entre les grandes entreprises, les ETI, les PME, les TPE et les collectivités publiques. Il diffère également en fonction de l’activité de l’entreprise ou de l’établissement. Une entreprise effectuant de la vente en ligne ou une entreprise gérant des informations confidentielles aura un risque cyber plus grand qu’une boutique en physique dont le site internet sert seulement à la faire connaître auprès du public sans échange transactionnel en ligne. Il vous faut donc opter pour une assurance qui répondra aux besoins spécifiques de votre établissement en matière d’attaques informatiques, que cela soit au niveau du type d’attaque couvert, des services de gestion de crise proposés et des montants pris en charge.
La responsabilité civile pro ou l’assurance fraude de mon entreprise ne m’offre-t-elle pas une couverture suffisante
Une assurance fraude ou une responsabilité civile pro tous risques informatiques est un bon début, mais c’est très loin de couvrir tous les dégâts que peut causer une attaque informatique. La responsabilité civile prendra en charge les dommages subis par votre matériel informatique — par exemple si vos ordinateurs ne sont plus utilisables. L’assurance fraude, elle, couvre votre patrimoine financier en cas d’usurpation d’identité — par exemple si vos comptes bancaires sont piratés et dépouillés. Dans les deux cas, ni la gestion de la réputation de votre entreprise, ni la récupération des données volées, ni les pertes d’exploitation causées par l’arrêt de l’activité ne seront prises en charge. Si l’activité de votre entreprise est très numérisée, une assurance spécifique contre le risque cybernétique sera probablement plus adaptée.
Étant donné que trouver la police adaptée parmi les montagnes de prestataires et d’options de contrats d’assurance qui existe sur le marché s’apparente à chercher une aiguille dans une botte de foin, Bureau132 sélectionne pour vous trois contrats qui correspondent à vos critères pour vous aider à être assuré comme il faut mais sans payer trop.