Risque cyber chez les PME : il faut (encore) le voir pour le croire

6000 PME attaquées sur les 12 derniers mois

Sur les 148 000 PME qui constituent notre tissu économique, 4% déclarent avoir vécu une cyberattaque sur les 12 derniers mois. Ce n’est plus un secret, les PME sont aujourd’hui massivement victimes d’incidents de sécurité informatique. Même si la plupart d’entre elles préfère ne pas rendre publiques ces attaques, de peur de voir leur notoriété en pâtir, les PME restent une cible privilégiée pour les organisations de hackers. Au moins une sur dix aurait déjà été attaquée et on ne le répètera jamais assez : la question n’est vraiment plus de savoir si une entreprise va être attaquée, elles le seront toutes, même si leurs systèmes d’information sont bien protégés.

Le temps du hacker isolé est terminé. Aujourd’hui, les groupes de hackers ressemblent à des entreprises avec de vrais bureaux, une hiérarchie, des stratégies long terme pour faire fructifier leurs activités. Et, contrairement à ce que pensent 69% de petites et moyennes entreprises, elles intéressent ces hackers professionnels car elles disposent toutes d’au moins un élément qui peut servir à les faire chanter : soit de la donnée sensible qu’il est possible de faire fuiter, soit de la donnée essentielle au bon déroulement des opérations sans laquelle l’activité pourrait être paralysée. Et souvent, elles disposent des deux.

Les PME prennent conscience du risque après une attaque

Dans l’inconscience du risque, la plupart des petites entreprises attendent de se faire attaquer pour réagir. Ainsi, l’étude montre que 89% des PME pensent que leurs données sont suffisamment protégées pour résister à une cyberattaque et qu’elles ne risquent donc rien. A contrario, celles qui craignent de se faire attaquer sont, pour beaucoup, celles qui ont déjà été victimes d’une cyberattaque (58%). L’expérience d’une cyberattaque laisse des traces, elle peut représenter un réel traumatisme pour l’entreprise et les employés.

Aussi, 94% des PME victimes d’une attaque mettent ensuite des mesures de cybersécurité en place. Il faudrait donc passer par la case cyberattaque pour réagir, quitte à ce qu’il soit trop tard. Combien d’entre elles se sont réellement relevées après avoir vécu le drame ? Faut-il attendre d’avoir vécu le pire pour mettre en place des mesures pour le combattre ? Face à ce constat, il semble nécessaire de trouver un moyen d’accompagner nos petites et moyennes entreprises dans une meilleure prise en charge de leur posture de cybersécurité.

Si on ne les accompagne pas, elles ne se protégeront pas

Pour autant, les PME sont en demande d’accompagnement cyber et considèrent que la solution pourrait venir de leur assureur. D’après l’enquête réalisée en partenariat avec l’IFOP, 76% d’entre elles attendent de leur assurance cyber qu’elle les accompagne dans l’amélioration de leur posture de cybersécurité. Cette demande est particulièrement appuyée chez les entreprises de moins de 100 salariés, qui disposent de ressources limitées pour mettre en place des mesures de cybersécurité.

Une information particulièrement intéressante, lorsque l’on sait que les assureurs ne remplissent pas ce rôle pour le moment, et que la plupart des PME ne sont pas assurées contre le risque de cyberattaques. De fait, les petites entreprises ont du mal à s’assurer en cyber parce qu’elles ne sont pas suffisamment protégées. Leur niveau de risque étant trop élevé, elles sont exclues de la plupart des polices d’assurance.

Pour permettre aux entreprises qui n’en ont pas les moyens d’atteindre un bon niveau de cyberprotection et de devenir assurable, les assureurs ont un rôle primordial à jouer : celui de l’assureur-protecteur. En protégeant ses entreprises assurées, en les accompagnant dans la maîtrise et la réduction de leur risque cyber, l’assureur permet aux entreprises les plus vulnérables d’être mieux protégées tout au long de leur contrat d’assurance et ainsi de casser le cercle de la non-assurabilité.

Le sujet cyber doit devenir un sujet de la direction générale

La problématique de la sensibilisation et de l’assurabilité face au risque cyber chez les entreprises n’a jamais été autant d’actualité. Entre 2017 et 2022, le risque cyber a pris une ampleur comme aucun autre en entreprise. Et pourtant, il reste le plus souvent traité comme un sujet annexe ou un sujet propre au département informatique de l’entreprise, et non comme un sujet central et stratégique au sein de la direction générale. Il est temps pour les chefs d’entreprise de s’approprier le sujet de la cybersécurité et d’en faire un sujet central comme il est temps pour les assureurs de s’approprier le rôle de protecteur. Sinon, toutes nos PME y passeront.