C’est l’une des grandes révélations de l’étude réalisée par l’IFOP pour Stoïk, 1re entreprise en Europe qui associe assurance et logiciel de sécurité contre les cyberattaques. Pourtant, au cours des 12 derniers mois, ce sont près de 6 000 PME, qui ont vu leurs systèmes informatiques hackés. Face au risque, bien réel, les dirigeants de ces entreprises doivent impérativement se préparer et s’assurer.
Les PME, cibles régulières des cybercriminels
Si elles font moins la une des journaux que les attaques visant les hôpitaux ou les grandes entreprises, les PME sont, elles aussi, concernées par les menaces cyber. 4% d’entre elles déclarent d’ailleurs avoir été victimes d’une cyberattaque au cours des 12 derniers mois. Au total, ce sont environ 6 000 entreprises de 10 à 250 salariés qui sont touchées au cours des 12 derniers mois.
Les secteurs les plus vulnérables sont l’agriculture et l’industrie, représentant 12% de ces actes de malveillance, tandis que le BTP semble être à la fois le secteur d’activité le plus épargné, mais aussi le plus sensibilisé à la question. En 2022, seul 1% des PME du bâtiment a été visé par une cyberattaque, contre 12% il y a plus d’un an. Une diminution qui trouve sans doute son explication dans les dispositifs de cybersécurité mis en place par ces entreprises, qui ont pris la mesure du danger.
Dans leur ensemble, ce sont 67% des petites et moyennes entreprises qui ont, d’une manière ou d’une autre, déjà été confrontées au risque cyber, qu’elles en aient été directement victimes, ou qu’elles craignent que leurs données soient mal protégées.
Un décalage entre la perception du risque et la réalité
Dans le même temps, près de 7 entreprises interrogées sur 10 (69%) continuent malgré tout de penser qu’elles ne constituent pas une cible potentielle. Une perception partagée par tous les secteurs, qu’il s’agisse de l’agriculture ou de l’industrie (74%), du BTP (72%), ainsi que du tertiaire (68%).
Au contraire, parmi les PME qui craignent de se faire attaquer, 58% ont déjà été victimes d’une cyberattaque. En effet, la prise de conscience est beaucoup plus forte auprès des entreprises ayant déjà subi une cyberattaque, ces dernières ressentant un fort sentiment de vulnérabilité.
« Il existe un décalage entre la perception du risque et la réalité, probablement lié au fait que très peu d’attaques visant des PME sont rendues publiques. Ainsi, la plupart de ces entreprises attendent, pour réagir, de se trouver face à une vraie menace. Or, il est souvent déjà trop tard. Les conséquences peuvent se chiffrer en milliers voire en millions d’euros, et mettre en péril la survie de l’entreprise. Il devient urgent de mener un travail de sensibilisation. », explique Jules Veyrat, CEO et cofondateur de Stoïk.
Les PME sont en demande d’accompagnement cyber
Si elles n’ont pas toutes conscience du risque, la plupart des PME souhaitent en revanche être mieux soutenues pour y faire face. 76% d’entre elles sont ainsi en demande d’un accompagnement cyber spécifique de la part de leur assureur. Une attente qui se fait encore plus prégnante au sein des petites structures, employant moins de 100 salariés. Conscientes de leur vulnérabilité, près de 1 sur 2 se fait ainsi écho de cette demande, faute de moyens pour mettre en place elles-mêmes des dispositifs de cybersécurité efficaces. Au-delà de la seule protection, c’est ainsi une couverture globale et des conseils experts que les entreprises attendent de la part de leur assureur pour faire face à ce risque complexe.
L’indemnisation de rançons, un prérequis pour 62% des dirigeants de PME français
Le sujet des paiements des rançons a fait couler beaucoup d’encre alors que l’Etat était prêt à valider l’indemnisation des rançons par les assurances début septembre. Stoïk a souhaité en savoir plus sur les attentes spécifiques des PME sur le sujet et révèle que 62% d’entre eux attendent de leur assureur qu’il indemnise la rançon alors que les attaques par rançongiciel restent le premier risque cyber pour les entreprises dans le monde.
Mi-novembre, l'article 4 de la loi d’orientation et de programmation du ministère de l’intérieur (Lopmi) a été élargi : il ne concerne plus uniquement le remboursement d’une rançon dans le cadre d’une clause assurantielle mais toute cyberattaque. Les entreprises bénéficient désormais de 72h pour déclarer une attaque avec ou sans demande de rançon pour bénéficier de la garantie de l'assureur.
« Pour protéger les PME d'un risque qu'elles ne maîtrisent pas, il est nécessaire que l'assureur joue le rôle d'assureur-protecteur en intégrant l'expertise cyber à son expertise assurantielle. Ainsi, l'assureur accompagne les PME dans la gestion de leur posture de sécurité et devient lui-même un meilleur gestionnaire de ce risque. En cas d’attaque, une assurance cyber dédiée minimisera les conséquences », conclut Jules Veyrat.