Le 21 novembre dernier, c'était au tour du groupe français Edenred d'être victime d'une attaque de ses systèmes d'information par un logiciel malveillant de nouvelle génération. Edenred a ainsi dû déployer immédiatement après l'attaque des mesures de précaution, avec notamment la déconnexion des systèmes afin de protéger les activités commerciales et les opérations des clients. Un retour à la normale qui aura tout de même affecté l'activité de certains services pendant deux jours.

Face à cette multiplication des risques, le conseil en assurance Bessé a mené, avec l’IFOP, une enquête spécifique auprès des ETI françaises. Celle-ci révèle notamment que la perception du risque cyber par les dirigeants d’ETI progresse mais qu’ils sous-dimensionnent encore sa portée stratégique et les moyens à déployer pour y faire face efficacement.

Qu’est-ce que le risque cyber ?

Si les dirigeants d’ETI et leurs équipes sont aujourd’hui en capacité d’anticiper et de gérer au quotidien les risques industriels qui pèsent sur leurs entreprises, ceux-ci le sont bien moins face à la menace cyber…

Selon Pierre Bessé, président de Bessé, « Le risque cyber, est singulier. Il appartient à une nouvelle génération de risques qui peut affecter l’entreprise dans sa globalité, dont la complexité est extrême et les caractéristiques diamétralement opposées à celles du risque industriel ».

Le risque cyber est :
• hautement évolutif, peu traçable et anticipable, souvent délocalisé
• principalement d’origine malveillante, comportant de potentiels relais internes humains au sein de l’entreprise qui déclenchent une crise par erreur ou négligence
• un risque systémique pouvant toucher la totalité du bilan d’une entreprise, en une seule occurrence, avec une probabilité de survenance très élevée

Les grandes entreprises sont « perçues à tort comme beaucoup plus exposées. Nombreux sans doute sont les dirigeants d’ETI qui pensent peut-être ne pas pouvoir s’offrir un tel luxe et espèrent tout à la fois passer à travers les gouttes… », ajoute Jacques Fradin, docteur en médecine, spécialiste en psychologie cognitive.

Les ETI face à la menace cyber : une perception qui évolue mais des réponses sous-dimensionnées

Les résultats de l’enquête Bessé réalisée par l’IFOP¹mettent en avant les points clés suivants :

1. La perception, par les dirigeants d’ETI, du caractère stratégique du risque progresse : 35% d’entre eux considèrent le cyber comme un risque stratégique. Cela signifie qu’une entreprise sur trois prend en considération la gestion du risque au niveau de ses organes de direction. Néanmoins la grande majorité des ETI interrogées (55%) évalue ce risque comme important mais non prioritaire, et plus particulièrement parmi les dirigeants d’entreprises de moins de 1000 salariés (où ce taux passe à 61%)…

2. L’estimation de leur exposition au risque cyber reste mitigée : les dirigeants d’ETI estiment en moyenne à 5,8 sur 10 le risque de cybermenace pour leur entreprise. Plus précisément, 56% des sondés considèrent leur exposition à ce risque comme très importante ou importante, tandis que les 44% restants la qualifie de modérée (21%) voire faible à inexistante (23%). Or, la bonne gouvernance de ce risque est nécessairement fonction de l’appréciation qu’encourt l’entreprise, selon leur dirigeants…

3. Seuls 32% des dirigeants d’ETI estiment que leur entreprise est tout à fait préparée pour affronter une crise cyber mais 89% des sondés se disent préparés et ce, quel que soit le niveau estimé d’exposition au risque… Ainsi parmi les 32% certains d’être préparés à affronter une attaque cyber, 53% considèrent être faiblement voire nullement exposés au risque cyber… En d’autres termes, les dirigeants qui jugent le niveau de la menace cyber faible voire inexistant estiment être autant prêts à affronter une attaque cyber que ceux qui évaluent la menace comme très importante. Or, les mesures et les moyens à mettre en oeuvre pour affronter une cyber attaque supposent un niveau de maturité élevé quant à l’appréhension de ce risque et des investissements à réaliser pour le maîtriser…

4. Seuls 3% des dirigeants interrogés envisagent d’embaucher dans les 12 prochains mois un profil dédié à la gestion de la cybersécurité : or les enjeux cyber nécessitent des compétences dédiées qui ne se limitent pas à une vision technique de la sécurité informatique. Les experts en cyber sécurité sont néanmoins rares, ce qui cause de réelles difficultés aux entreprises…

5. 61% des dirigeants sondés pensent que leur entreprise dispose d’assurances couvrant le risque cyber. Mais, selon la Fédération Française des Assureurs (FFA) le volume de primes collectées en France sur le risque cyber est très faible (80 millions d’€) et le taux d’équipement des ETI estimé à moins de 10%... les dirigeants d’ETI doivent donc faire preuve de vigilance.

« Les résultats de cette enquête sont positifs. Plus sensibilisés qu’hier, les dirigeants d’ETI ont intégré la dimension stratégique du risque mais force est de constater que l’effort de sensibilisation doit être maintenu et les investissements à déployer pour se protéger encore à accentuer », ajoute Pierre Bessé.

Parmi les outils essentiels à mettre oeuvre pour anticiper et maîtriser les conséquences d’une cyber-attaque figurent la cyber-assurance.

La cyber-assurance comme solution

Face à un risque dont la probabilité d’occurrence est très difficile à appréhender et les conséquences non mesurables sur le plan quantitatif, le seul moyen pour les entreprises d’en minimiser l’impact est de lisser le risque financier par voie de transfert au marché de l’assurance.

Les assurances risque cyber permettent de bénéficier de l’intervention rapide d’experts en la matière afin de déterminer l’origine de l’attaque, de la contenir et de définir les process à activer pour assurer la disponibilité des ressources informatiques et la continuité des activités critiques.

Cela nécessite une approche sur-mesure du risque, l’élaboration de couverture « cyber » spécifiques et un choix dédié des assureurs mobilisés sur le sujet. Dans la continuité d’un accompagnement de A à Z de ses clients, Bessé à mis en place différentes solutions pour permettre aux ETI de faire face à ce type de sinistre.

« Nous intervenons au quotidien dans la gestion de la crise pour orienter et accompagner les prises de décision d’ordre stratégique. Nous pouvons ainsi prendre en charge les préjudices techniques et financiers, souvent très lourds : vol de données confidentielles, perte d’exploitation, détérioration voire destruction des systèmes d’information… Nous avons un vrai rôle à jouer aussi bien dans l’indemnisation du sinistre que dans la diffusion des bonnes pratiques et le développement de la cyber-résilience… », ajoute Pierre Bessé, Président de Bessé.

Bessé engagé dans la cyber-résilience…

Le risque cyber n’est sans doute pas un risque qui peut être traité comme les autres. Il implique de faire évoluer les solutions traditionnelles de traitement du risque en prévoyant notamment :

1. D’inscrire le risque cyber dans un processus d’agilité et d’amélioration globale en favorisant le REX (retour d’expérience) à tous les niveaux de l’organisation pour en tirer l’analyse des failles existantes et des solutions possibles.
2. D’accompagner les dirigeants et leurs équipes : sensibiliser, faciliter, de l’amont à l’aval, former au management de risque, de crise, mutualiser les interventions d’experts spécialisés en gestion de crise etc.
3. De faciliter la construction de réseaux de coopération entre entreprises pour s’enrichir des différentes expériences vécues et mutualiser leurs ressources.

« Il est en effet essentiel de communiquer sur les enjeux et conséquences du risque cyber, en favorisant le partage d’expérience et la diffusion des bonnes pratiques », conclut Pierre Bessé.

C’est dans cette optique que Bessé contribue à bâtir un espace propice à la réflexion et à la collaboration inter-entreprises, associant les personnalités du public et du privé, pour favoriser les échanges, les retours d’expérience entre dirigeants et diffuser les meilleures pratiques à adopter face à la menace cyber.

¹ Enquête réalisée en novembre 2019 sur la base d’un échantillon représentatif de 150 dirigeants d’entreprises de taille intermédiaire (entreprise de 250 à 4999 salariés, dont le chiffre d’affaires est inférieur à 1,5 milliards d’euros)