Quand le cyber devient systémique : le rôle clé des assureurs pour passer d’une logique de réaction à une logique d’anticipation.
![Image [PODCAST] Construire un marché cyber souverain et de confiance en Europe : du discours à l’exécution](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-885x690.jpeg)
Le risque cyber est désormais qualifié de systémique. À quel moment est-il devenu un sujet de gouvernance stratégique et non plus seulement IT ?
Christine Sinibardy : Le cyber est devenu un sujet de gouvernance le jour où une attaque a pu arrêter une entreprise, ou un pays, en quelques heures.
Nous ne nous sommes pas réveillés un matin avec cette réalité, mais les faits sont là : des incidents majeurs récents, du Royaume-Uni au blackout en Espagne, ou encore l’épisode CrowdStrike en 2024, ont montré à quel point nos économies sont dépendantes du numérique.
Rebiah Bardot-Girard : En réalité, le cyber a toujours eu des conséquences stratégiques : financières, opérationnelles, réputationnelles. Ce qui est nouveau, c’est le niveau de prise de conscience. Trois facteurs l’expliquent : la hausse massive et continue des attaques, les tensions géopolitiques et l’accélération réglementaire avec des cadres comme NIS2 ou DORA.
Aujourd’hui, le cyber n’est plus délégable au RSSI seul : il est piloté au niveau du comité exécutif et du conseil d’administration.
Observe-t-on une résilience “à deux vitesses” entre grands groupes et PME ?
Christine : Oui, mais la fracture est plus complexe qu’elle n’y paraît. Il existe bien un écart entre grandes entreprises et PME, ces dernières étant encore insuffisamment préparées ; près de 80 % estiment ne pas l’être. Mais le véritable enjeu dépasse cette opposition.
Le niveau de résilience d’une organisation dépend de son maillon le plus faible. Or, même les grands groupes ont des zones de fragilité : filiales récentes, systèmes legacy, shadow IT, ou dépendance à des tiers.
Rebiah : Oui, d’ailleurs aujourd’hui, le vrai angle mort des grandes entreprises, c’est leur écosystème. Les attaquants l’ont bien compris : ils ciblent de plus en plus les fournisseurs et sous-traitants pour atteindre les grandes organisations. La fracture n’est donc pas seulement entre grandes et petites ; elle existe aussi à l’intérieur des grandes.
Les vulnérabilités humaines restent-elles le principal angle mort ?
Christine : Le facteur humain reste central, mais il a profondément évolué. Aujourd’hui, 50 % des incidents impliquent un facteur humain. Mais la cible n’est plus seulement l’employé : ce sont de plus en plus les dirigeants. Les attaques de type fraude au président ou Business Email Compromise ont explosé, avec des pertes de plusieurs milliards de dollars chaque année. Et avec l’IA générative, nous entrons dans une nouvelle phase : deepfakes, usurpations de voix, messages ultra crédibles. Le véritable angle mort n’est plus la naïveté des collaborateurs ; c’est l’absence de protocoles de vérification adaptés à ces nouvelles menaces.
En parallèle, les vulnérabilités techniques restent fortement exploitées, notamment via l’automatisation. Aujourd’hui, les deux dimensions – humaine et technique – sont indissociables.
Dans les premières 48 heures après une attaque, qu’est-ce qui fait la différence ?
Rebiah : Les trois facteurs comptent : préparation, gestion de crise, solidité financière. Mais le facteur décisif reste la préparation. Ce qui fait la différence dans les premières heures, c’est la capacité à prendre des décisions rapides et éclairées sous pression. Et cela ne s’improvise pas. Les organisations qui s’en sortent le mieux sont celles qui ont anticipé : plans de réponse testés, cellules de crise entraînées, rôles et responsabilités clarifiés.
Christine : Oui, et à cela s’ajoute une contrainte nouvelle : l’horloge réglementaire. Entre le RGPD, NIS2 ou les obligations de communication financière, les entreprises doivent gérer simultanément la crise technique et la crise réglementaire. Et puis la solidité financière reste clé en particulier pour les PME, d’où le rôle essentiel de l’assurance cyber pour absorber le choc et mobiliser rapidement des experts.
AXA XL positionne le risk consulting comme un levier stratégique. De quoi parle-t-on concrètement ?
Rebiah : Le cyber risk consulting, c’est passer d’une logique de réaction à une logique d’anticipation. Il ne s’agit plus seulement de gérer une attaque, mais de réduire la probabilité qu’elle réussisse.
Cela repose sur une approche globale :
- identification des actifs critiques,
- évaluation des vulnérabilités,
- conformité réglementaire,
- préparation des équipes.
L’objectif est clair : transformer le cyber d’un risque subi en un risque maîtrisé.
Quel facteur redessine le plus la cartographie du risque cyber aujourd’hui ?
Rebiah : Ce n’est pas un facteur unique, mais une convergence de dynamiques.
L’industrialisation des cyberattaques, l’accélération réglementaire et l’essor de l’intelligence artificielle transforment en profondeur le paysage. L’IA joue un rôle d’accélérateur : elle rend les attaques plus rapides, plus ciblées et plus difficiles à détecter, tout en étant aussi un levier de défense.
Parallèlement, des réglementations comme NIS2 et DORA élèvent fortement les exigences en matière de gouvernance et de résilience.
Enfin, la dépendance croissante aux écosystèmes élargit le périmètre de risque bien au-delà de l’entreprise elle-même. Le véritable enjeu est donc de passer d’une vision centrée sur le périmètre interne à une approche élargie, intégrée et dynamique du risque cyber.
Pourquoi les PME restent-elles en retrait sur ces sujets ?
Christine : Le principal frein reste une perception erronée du risque. Beaucoup de dirigeants pensent encore être trop petits pour être ciblés, ou ne pas détenir de données sensibles. À cela s’ajoute l’idée que le cyber est un sujet purement technique, dans un contexte de ressources limitées. Or, une cyberattaque a des conséquences bien au-delà de l’IT :
- interruption d’activité,
- pertes financières,
- atteinte à la réputation,
- perte de clients ou de partenaires.
Pour une PME, une attaque peut mettre en péril la survie même de l’entreprise.
Dans le modèle AXA (prévention, assistance, indemnisation), quel levier est le plus déterminant ?
Christine : Les trois sont indissociables, c’est précisément ce qui fait la valeur de l’assurance cyber. La prévention réduit la probabilité d’attaque. L’assistance permet de gérer la crise efficacement dès les premières heures. L’indemnisation protège la trésorerie face aux impacts financiers. Mais en pratique, pour une PME victime d’un ransomware, c’est la combinaison des trois qui fait la différence entre une crise maîtrisée… et une crise existentielle.