Nousassurons, réseau de courtage en assurances, incite ainsi les entreprises, quelle que soit leur taille, à davantage s’assurer contre les risques cyber, plus probables que le risque d’incendies, mais moins souvent couverts !

La mise en place d’un bouclier européen pour prévenir les attaques cyber qui se multiplient depuis le Covid

La défense numérique est un sujet de plus en plus préoccupant comme en témoigne, le Cyber Resilience Act, établit fin 2022 et visant à mettre en place un cadre européen commun en matière de cybersécurité. Pour aller plus loin, Thierry Breton, commissaire européen en charge du marché intérieur, présentera le 18 avril le « Cyber Solidarity Act » qui comprendra notamment la création d'un « bouclier cyber européen », pour mieux prévenir les attaques cyber, comme annoncé la semaine dernière lors du Forum international de la cybersécurité.

En effet, depuis le début de la pandémie, le nombre de cyberattaques a fortement augmenté, notamment suite à l’adoption massive du télétravail. D’après le Baromètre de la cybersécurité en entreprise CESIN 2022, plus d’une entreprise française sur deux (54 %) a été victime d’au moins une cyberattaque au cours de l’année 2021. La France est l’un des pays les plus touchés d’Europe, juste derrière les Pays-Bas (57 % des entreprises ont été victimes d’une cyber attaque). En France, 69 % des cyberattaques visent les entreprises, 11% les hôpitaux et 20% les collectivités territoriales.

Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI) les attaques par rançongiciel (ou ransomware) contre les entreprises françaises, c’est-à-dire la prise d’otage des données d’une entreprise contre une rançon, ont augmenté de 255 % en 2020 par rapport à 2019. Selon la Cnil, en 2021, 1 entreprise sur 5 (soit 18 %) a été victime d’une attaque par ransomware, soit le taux le plus important d’Europe.

Si l’on ne dispose pas de chiffres récents, on sait que la guerre en Ukraine a également contribué à l’accroissement du nombre et de la gravité des cyberattaques. « Cette prise de conscience de la fréquence, de l’importance et de la gravité des cyberattaques pour un pays, une ville ou une entreprise, est essentielle pour mieux prévenir ces attaques notamment en détectant les failles de sécurité, en mettant en place les barrières de protections nécessaires et en s’assurant contre les risques cyber », explique Jérôme Robin, président de Nousassurons. « Les dirigeants des pays, des collectivités locales et des entreprises de toutes tailles sont concernés, car l’activité peut être totalement paralysée en cas d’attaque cyber ».

Un risque cyber de plus en plus élevé, davantage que le risque d’incendie

En effet, toutes les entreprises, quelle que soit leur taille, dès lors qu’elles sont informatisées, sont potentiellement concernées par le risque cyber. Selon le dernier rapport d’activité de la CNIL, les PME et les micro-entreprises représentent 69 % des notifications de violations de données personnelles notamment liées à du piratage informatique. 25 % correspondent aux ETI (Entreprises de Taille Intermédiaire) et 6 % aux grandes entreprises.

« Trop peu d’entreprises sont couvertes pour le risque cyber car cela représente un coût supplémentaire, alors même que le risque de piratage informatique est désormais plus élevé que le risque incendie, avec en outre des conséquences plus importantes car contrairement à un incendie qui ne touchera qu’un entrepôt ou un bureau, une cyber attaque peut toucher l’ensemble du réseau et donc tous les sites d’une même entreprise ! », prévient Sonia Blanchard, responsable des risques d’entreprises chez Nousassurons.

Selon Nousassurons, le coût global d’une attaque, incluant la perte d’exploitation, les destructions des outils informatiques, la fuite de données et l’impact en termes d’image atteint entre 30 000 et 60 000 euros par entreprise. Selon le Baromètre 2022 de la CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), l’impact sur le chiffre d’affaires d’une cyberattaque représente une perte moyenne d’environ 27 %.

S’assurer contre les risques cyber, une nécessité pour protéger son activité

Pour autant, d’après le Trésor, l'assurance cyber ne représente que 3 % des cotisations en assurance dommage des professionnels, alors que ce risque s’accroit chaque année, et concerne toutes les entreprises.

« Les dirigeants d’entreprises et notamment des TPE/PME n’ont pas toujours conscience des risques, alors qu’ils sont pleinement concernés, et les moins protégés ! D’où l’importance de la prévention, et de l’information, car les conséquences peuvent être très graves, pour toutes les entreprises qui gèrent des données personnelles, et pas seulement les sites de e-commerce ou les banques, mais aussi les médecins, experts-comptables, avocats… », explique Jérôme Robin.

Avec plus d’une dizaine offres de contrats d’assurance cyber, Nousassurons proposent des solutions quelle que soit la taille des entreprises, de la profession libérale à l’ETI. L’assurance cyber prend en charge l’ensemble des conséquences et dommages liés à la cyber attaque :

• La Garantie responsabilité civile qui est utile en cas de recours des clients affectés, comme cela peut être le cas pour des prestataires informatiques, experts-comptables, banques, assureurs, site de e-commerce, ou toute entreprise qui gère des données personnelles.
• Les dommages liés à l’infection et la destruction des outils informatiques de l’entreprise : certains assureurs mettent à disposition une assistance informatique pour gérer l’attaque, avec un prestataire disponible 24H/24H, y compris le week-end pour agir immédiatement en cas d’attaque en en limiter l’impact et la propagation à l’ensemble du réseau ou des outils, et donc la perte d’exploitation. Sont également pris en charge le coût des changements d’outils, et tous les couts annexes liés à l’attaque.
• Une assistance règlementaire pour informer les clients de la fuite de données (process administratif spécifique) et gestions des retombées en termes d’image.
• Une couverture de la perte d’exploitation déterminée en fonction du niveau de blocage lié à l’attaque.

Concernant le paiement de rançon, fin 2022, le gouvernement s’est prononcé en faveur de la prise en charge par les assurances des rançons payées par les entreprises visées par cyberattaques, à condition qu'elles portent plainte.

« À ce jour, certaines compagnies, prennent en charge la rançon et la cyber extorsion, mais pas toutes. Par ailleurs, certaines compagnies vont plus loin et assurent également la fraude des emails, l’usurpation d’identité du dirigeant, les piratages des accès aux comptes ou la validation des virements… Chez Nousassurons, nous proposons des contrats couvrant l’ensemble de ces garanties, y compris la prise en charge des rançons », explique Sonia Blanchard.

Le coût des assurances contre les risques cyber varient en fonction des entreprises, mais globalement, il faut compter en moyenne de 500 à 1 000 euros pour une TPE et 3 000 euros pour une PME. Au-delà, des offres sur mesure sont proposées en fonction du CA mais aussi de l’activité et de son exposition aux risques cyber.

« En outre, via l’assurance cyber il est possible de bénéficier d’un audit gratuit pour analyser leur système informatique, l’améliorer et en réduire les failles. Cette prévention permet ainsi de limiter les risques dont les coûts et l’impact en termes d’images vont parfois au-delà de ce qui sera indemnisé… », conclut Jérôme Robin.