Assurance et cyber-risque : les PME et la « supply chain » à la traîne                                                                                                     

Comment couvrir un risque aussi volatil et immatériel que le risque cyber ? À la différence d’une inondation ou d’un incendie, la menace de cyberattaque est difficilement quantifiable. Ainsi, selon le dernier baromètre OpinionWay pour le CESIN (Club des experts de la sécurité, de l’information et du numérique) qui regroupe 1200 responsables cyber en France) publié en janvier dernier, seuls 10 à 15 % des TPE-PME ont souscrit un contrat d’assurance contre ce risque majeur, alors que ce taux atteint plus de 80 % pour les grands groupes.  

Des menaces dopées à l’IA

« Après avoir atteint des sommets en 2024, le nombre d’incidents a baissé l’an dernier, reconnaît Didier Gras, CISO chez BNP Paribas, et administrateur du CESIN, mais en revanche, ça tape dur ! Quand on est face à cette gestion de crise, on ne peut pas s’en sortir seul. » Dopé par l’IA, le paysage des menaces a lui-même également considérablement changé ces dernières années. Les attaquants ne s’introduisent plus par effraction, mais ils se connectent simplement. 

« Il y a une volatilité terrible, ajoute Luc Vignancour, assureur chez Beazley. Ce marché est très jeune et il a attiré au début de nombreux acteurs avec pléthore d’offres. Mais lorsqu’il a fallu payer des sinistres à plusieurs dizaines de millions d’euros, les professionnels sérieux sont restés et les autres sont partis en courant. »  

« C’est un marché très dynamique, mais également très faible en volume en raison d’un grand besoin de sensibilisation des dirigeants de PME », confirme Thierry Piton, référent national pour les contrats cyber chez Axa. Il faut pourtant qu’ils comprennent que c’est le risque n°1 et qu’ils sont la première cible. » Signe de l’importance de l’enjeu, Axa évalue à 16 jours en moyenne l’impact sur l’activité pour une TPE-PME victime d’une cyberattaque. Les attaquants repèrent souvent les vulnérabilités plus rapidement que l’entreprise elle-même.

Un risque changeant et évolutif

La sécurité de l’identité doit donc être la priorité absolue des responsables de la sécurité. Selon les experts, l’important est d’entraîner les dirigeants de PME, mais aussi d’ETI à faire face à ces risques. « Quand une entreprise subit une cyberattaque et qu’elle est à terre, souligne M. Gras, la moitié du temps, on observe des tentatives de fraudes et de détournement d’argent. » 

Encore aujourd’hui, les assureurs éprouvent eux-mêmes quelques difficultés à appréhender le risque cyber, car il est « extrêmement changeant et évolutif, selon M. Vignancour. Dans l’assurance incendie, on voit rapidement qu’une usine en béton ne brûlera pas à la différence d’une usine construite en bois. En cyber, vous n’avez jamais ce type de certitude. » 

Encore faut-il parler le même langage. Les assureurs ont beau proposer des packages pour simplifier leurs offres, il reste beaucoup à faire en termes d’évangélisation. « N’oublions pas que dans certaines PME qui seront assujetties à NIS2 demain et que l’ANSSI a visitées, c’est la personne de l’accueil qui est aussi chargée de la cybersécurité avec 15 minutes par an à y accorder ! » souligne Mathieu Couturier, chef de division à l’ANSSI. « L’enjeu collectif de demain, ce sont les PME, la supply chain et les ETI dans une moindre mesure, confirme-t-il. Le sujet est grave : en cas d’attaque,  il en va de la solvabilité et de la survie économique de l’entreprise. » 

Colonne vertébrale

Persuadée que les réglementations aideront à rehausser le niveau de sécurité, l’ANSSI a lancé en mars dernier le référentiel ReCyf, qui liste les mesures qu’elle recommande afin d’atteindre les objectifs de NIS2 (toujours pas transposée en droit français, ndlr). Il est censé offrir à tous une colonne vertébrale de la sécurisation, une grille de lecture commune et une simplification des règles du jeu. « Pour une PME, être conforme pour être conforme, ça ne marche pas, admet M. Couturier. Elle a besoin de démontrer que cela marche vraiment pour lui permettre de gagner des marchés ou de faciliter l’obtention d’un crédit. »

Alors, comme pour les tests d’intrusion avec PASSI, doit-on aller vers une labellisation des meilleures polices d’assurance ? « C’est une fausse bonne idée, iI ne faut pas tout étiqueter, objecte M. Couturier. L’important, c’est plutôt de mettre en place un « backbone » (centre névralgique). Aux acteurs de marché ensuite s’en saisir, de s’approprier ces outils et de les déployer auprès des entreprises. » L’ANSSI travaille également à la mise au point d’une certification de mesures de sécurité réelle dans les systèmes, en lien avec NIS2, dédiées aux petites structures.        

Hygiène informatique

Côté contrat, les entreprises de moins de 50 millions d’euros de chiffre d’affaires sont en général soumises à un simple questionnaire qui reprend la base de l’hygiène informatique. « Il s’agit de s’assurer que la société dispose d’un socle minimum pour avoir accès à l’assurance, explique M. Piton. Cela permet aussi de pousser des messages pédagogiques. » Pour les ETI (+ de 200 millions de CA), le questionnaire est plus détaillé et complété par un entretien avec le RSSI du client pour bien comprendre sa stratégie.  

Mais ce qui inquiète le plus les assureurs aujourd’hui, c’est l’avancée de l’intelligence artificielle en matière de cyberfraude. « On minimise encore trop cette menace alors qu’elle remet fondamentalement en cause la relation de confiance dans cet univers, alerte M. Gras, c’est un carnage ! »