À l’instar de sa participation au groupe de travail de la DG du Trésor, qui vient de publier son rapport sur le développement de l’assurance du risque cyber, cette étude s’inscrit dans une démarche de réflexion et de sensibilisation que mène activement BESSÉ depuis 2016 pour contribuer à améliorer la posture des entreprises face au risque cyber.

Alors que le taux de couverture des entreprises, tous segments confondus, reste faible et très contrasté, l’étude réalisée, examine un échantillon de 59 sinistres (entre 2019 et 2021) de sociétés ayant souscrit une police d’assurance cyber et dont les impacts financiers excèdent 100K€ pour les grands Groupes et 50K€ pour les petites et moyennes entreprises.

L’étude confirme en premier lieu la part majoritaire des cyberattaques sur les PME à 44 %, particulièrement exposées avec les TPE, en raison d’un niveau de protection très faible.

Retour sur l’état de la menace cyber en quelques chiffres clés : 

• + de 1000 affaires suivies par l’ANSSI en 2021 vs 750 en 2020
• 36 % de taux de perte totale de données suite à une attaque
• 79 % des entreprises avec des données sur le Cloud ont subi au moins 1 violation depuis 2020 

La France est le 3ème pays le plus attaqué par ransomware après les USA et le Royaume-Uni.

Autres conclusions significatives de l’étude :

> Nature, source et profondeur des attaques cyber

• Les attaques par ransomware constituent près de 90 % de la sinistralité enregistrée. Le montant des rançons reste faible en comparaison du préjudice total subi et le nombre de dossiers concernés par un paiement de rançon est très limité.

• Les campagnes de Phishing (e-mail ou SMS incitant le destinataire a  utiliser un lien corrompu) sont la première source des attaques du système d’information d’une entreprise pour 30 % des dossiers. L’attaquant pourra alors récupérer des mots de passe et des noms d’utilisateurs ou introduire un code malveillant utilisé par la suite.

• Les cyberattaques conduisent l’entreprise a  devoir reconstruire totalement ou partiellement son système d’information dans 94 % des cas.

> Impacts organisationnels :

• Toute attaque cyber entraîne des perturbations plus ou moins fortes de l’activité́ pendant plusieurs semaines voire plusieurs mois : perte de la messagerie et de la téléphonie, indisponibilités des applicatifs dédiés aux fonctions supports, forte pression sur les équipes IT, …

• Beaucoup d’entreprises sous estiment ou n’ont pas conscience des arrêts ou retards de fonctionnement qui peuvent être générés. En revanche, elles surestiment leur capacité a retrouver rapidement un niveau normal d’activités. Ce retour à la normale représente en moyenne 89 jours pour les Grandes Entreprises, 20 pour les ETI, 29 pour les PME et 26 jours pour les TPE.

> Impacts financiers :

• Les pertes d’exploitation peuvent représenter plus de 80 % des coûts d’un sinistre majeur touchant une ETI ou un grand Groupe. Suivent les frais de reconstitution des systèmes d’exploitation et les frais de gestion de crise.

• 174 M€ de pertes ont été déclarées au titre des sinistres de l’échantillon analysé → 129 M€ ont été pris en charge à la date de notre étude au titre des montants et natures de garanties prévus aux contrats d’assurance souscrits.

Quelques enseignements majeurs de l’étude :

• Le volet assistance est un des points forts des polices Cyber car il apporte un véritable soutien aux entreprises victimes de cyberattaques. L’expérience acquise par les assureurs apporte aussi de la valeur.

• La qualité́ de l’instruction du sinistre est clé́ : le calcul de l’indemnisation de l’ensemble des pertes d’exploitation subies par l’entreprise peut s’avérer très complexe.

• La cyber résilience dépend tout autant de l’évaluation technique des risques que de l’interprétation des paramètres opérationnels et financiers régissant le fonctionnement de l’entreprise.

• La valorisation financière des risques favorise le développement d’une compréhension commune des menaces cyber au sein de l’organisation.

La dernière partie de l’étude sinistralité Cyber est dédiée aux regards de :

• Guy Philippe GOLDSTEIN, enseignant à l'École de Guerre Économique, sur l’impact économique d’une attaque cyber

• Laurent PORTA, Associé chez Vae Solis Communications, sur la cyber-résilience

• Fabienne LOPEZ, colonel de gendarmerie et cheffe du Centre de lutte contre les criminalités numériques (C3N), sur son observation au quotidien des affaires qui lui sont rapportées.

« Avec cette étude, nous avons choisi de nous placer au centre de la crise cyber en observant la gestion du sinistre. Notre objectif est d’apporter aux dirigeants et a  leurs équipes un éclairage favorisant leur compréhension des frais et pertes auxquels sont exposés les entreprises et quelle pourrait être leur prise en charge au titre des contrats d’assurance cyber qu’ils peuvent décider de souscrire », déclare Pierre BESSÉ, Président-directeur général de BESSÉ.

« Il nous a paru important de faire progresser la nécessaire sensibilisation des différents acteurs au risque cyber car nous constatons encore trop souvent que ce risque n’est pas intégré́ a  son juste niveau de survenance par les différents acteurs économiques », ajoute Christophe ARREBOLLE, Président du Groupe Stelliant.