Cyber assureurs et fournisseurs de services managés, alliés pour aider les PME à se cyber sécuriser

Pour se protéger, les entreprises doivent réaliser qu’elles ont de la valeur pour des cybercriminels, accepter d’investir dans leur cybersécurité, sensibiliser leurs salariés et souscrire à une cyber assurance. Plus facile à dire qu’à faire lorsque l’on ne maitrise pas l’informatique et que l’on manque de moyens.

Les PME, toujours très seules face aux cyberattaques

D’après le dernier recensement de l’INSEE, les microentreprises, les TPE et les PME représentent 99,9% des entreprises françaises. Les TPE-PME réalisent près d’un quart du chiffre d’affaires généré en France (22,8%). C’est dire leur importance dans le paysage économique français.

Malgré cela, d’après un rapport du cabinet Astères pour le CRiP, « les PME sont, de loin, les structures les plus touchées par les cyberattaques (…) et représentent plus de 90% du nombre de cyberattaques estimées au sein des organisations françaises ». Le rapport (qui combine les données de plusieurs études majeures de Forrester, Ponemon, et OpinionWay) recense en 2022, 330 000 cyberattaques ciblant les PME, 37 000 ciblant les administrations publiques et seulement 17 000 à l’encontre des grandes entreprises.

Le rapport de force n’est pas près de s’inverser si l’accompagnement offert aux PME ne se développe pas. Les quelques guides de bonnes pratiques et formations organisées en CCI ont le mérite d’exister mais c’est bien trop peu par rapport à l’ampleur du problème.

Aujourd’hui, les fournisseurs de services managés (MSP) sont les acteurs les plus proches du terrain et jouent pleinement ce rôle de conseil. En plus des éditeurs de solutions qui participent à leur niveau à la sensibilisation les entreprises, les cyber assureurs ont désormais toute leur place pour aider les entreprises à monter en compétence. 

Les prérequis imposés par la cyber assurance permettent de poser de bonnes bases 

Selon l’Amrae, 98% des grands groupes sont équipés d’une police d’assurance, pour seulement 10% des ETI et 3% des entreprises de taille moyenne. C’est très peu mais l’intérêt des PME progresse vite. Les pertes financières consécutives à une cyberattaque sont généralement très importantes, encore plus pour une PME.

En cela, l’assurance peut offrir une couverture intéressante, sur les pertes de revenus, les sommes éventuellement payées à l’extorqueur, les dommages liés à la réputation, les dommages physiques infligés au matériel et les coûts de récupération et restauration des données, les coûts liés à la recherche de menaces de cyberattaques ou encore les services juridiques, techniques ou scientifiques nécessaires pour évaluer si une cyberattaque s’est produite ou non.

Pour pouvoir prétendre à une assurance, les entreprises doivent apporter la preuve d’un niveau de maturité adéquat en matière de cybersécurité.

Mais devant le coût des cyberattaques - et le peu d’assurés dans la catégorie des entreprises de taille moyenne - les cyber-assurances ont récemment décidé d’augmenter le niveau d’exigence pour contracter une police d’assurance. Elles exigent des entreprises d’apporter la preuve d’un niveau de maturité adéquat en matière de cybersécurité, et leur demandent la mise en œuvre de solutions comme l’authentification multifacteur, la protection des endpoints, la gestion des correctifs et le filtrage des emails.

Voyons cela de manière positive, tout ce qui va dans le sens d’une meilleure sécurité est une bonne chose et les MSP ont, avec la cyber assurance, un sujet permettant d’approfondir leurs échanges avec leurs clients et d’accélérer les projets.

Le binôme cyber-assureur et MSP peut devenir la vraie force de conseils qui manque aux PME

Disons-le tout de suite, nous sommes aujourd’hui plutôt dans une situation de cohabitation que d’alliance. En cas de cyberattaque, les assurances déplacent leur propre expert qui n’a pas la connaissance du contexte de sécurité de l’entreprise victime et ne sollicite pas automatiquement l’expertise et le conseil du MSP assurant la sécurité de l’entreprise.

Mais les cyber-assureurs et les MSP ont en commun d’être proches des entreprises et celles-ci ont vraiment besoin d’un accompagnement et de conseils. En travaillant main dans la main, ils peuvent amplifier le conseil et la sensibilisation offerte aux PME.

Les MSP peuvent apporter des éclaircissements aux entreprises à la recherche d’une bonne police d’assurance, aider les entreprises à effectuer les évaluations de sécurité nécessaires pour comprendre la protection adoptée par les entreprises. Mais ils peuvent aussi faire baisser le coût de la cyber assurance en aidant l’entreprise à mettre en place des bases.

A défaut d’avoir déjà des exemples concrets en France, illustrons le propos avec le témoignage d’un MSP américain où la cyber assurance est bien plus installée. Jodi Gawf, dirigeante de Saje Network Systems témoigne : « L’un de nos clients, une entreprise avec 1 000 utilisateurs qui avait payé 21 000 dollars de cyber-assurance en 2021, a reçu deux nouveaux devis en 2022 de 70 000 et 100 000 dollars en mai 2022. Nous avons amélioré la protection des endpoints de l’entreprise en ajoutant un EDR, ce qui a baissé le devis à 27 000 dollars. Le client a pu ainsi améliorer considérablement la posture en matière de sécurité de l’entreprise et faire baisser la note de sa cyber assurance. Nous avons aidé davantage d’entreprises à remplir plus de formulaires de cyber-assurance que jamais auparavant ».

Toutes les entreprises peuvent subir une cyberattaque. Avant de songer à s’équiper d’une cyber assurance, l’entreprise doit se poser les bonnes questions pour évaluer ses pratiques de cybersécurité en place et déterminer quelle assurance lui conviendrait. Des questions essentielles telles que : disposez-vous du budget nécessaire pour couvrir les coûts de mise en œuvre et l’assurance ? Quel est votre niveau de cyber hygiène actuelle ? Avez-vous identifié les principales failles auxquelles votre entreprise est exposée ? Êtes-vous conforme aux réglementations en vigueur, telles que le RGPD ? Et d’un point de vue opérationnel : disposez-vous de ressources IT internes ou des prestataires de services qui gèrent votre sécurité ? Êtes-vous déjà équipé de logiciels, antivirus par exemple, faites-vous des sauvegardes régulières, des tests de sécurité ?

Assureurs, MSP et éditeurs, dès lors qu’ils sont vraiment spécialisés dans les PME, peuvent être les bons conseillers pour aider à répondre à ces questions et poser les bonnes bases !