TPE / PME : construire une culture de prévention contre les cybermenaces 

Comment évaluez-vous l’évolution de la menace cyber ces dernières années, notamment autour des événements majeurs comme les JO ? Quels sont les nouveaux défis qui émergent ?

Le risque Cyber fait partie des risques majeurs dans le monde. Dans le Future Risk Report publié tous les ans par AXA, cette menace figure en 3ème position des craintes dans le monde pour la population générale et en 2ème pour les experts.
Les attaques cyber sont en effet une réalité pour les entreprises.Selon le baromètre du CESIN rès d’une entreprise sur 2 en France a été victime de cybercriminalité au cours de l’année 2024. Les PME qui jusqu’ici se croyaient épargnées sont également de plus en plus ciblées avec une hausse de +53 % des attaques en 2024 par rapport à 2023 (source : Orange Cyber Défense).Ces attaques sont quasiment toutes liées de près ou de loin au contexte géopolitique et économique mondial. 

Des événements importants tels que les Jeux Olympiques de Paris augmentent le risque de subir des attaques massives. La France s’était bien préparée à cette éventualité : le dispositif mis en place par l’ANSSI, en étroite collaboration avec les différentes structures impliquées dans l’organisation des Jeux, a permis de déployer une stratégie de sécurisation préventive et de vivre ces Jeux sans perturbation majeure.

Chez AXA, nous avons souhaité mener une action préventive à l’égard des entreprises françaises en partageant des conseils de prévention de nos experts sur les réseaux sociaux. Nous avons également accompagné nos clients avec des actions personnalisées (bonnes pratiques d’hygiène informatique, scan externe des vulnérabilités, formation à la cyber sécurité offerte aux collaborateurs).

Si les attaques massives sont encore rares, nous devons néanmoins accroître notre vigilance car les pirates informatiques, très professionnels, utilisent les nouvelles technologies telles que l’Intelligence Artificielle à des fins malveillantes. Nous constatons par ailleurs que le secteur industriel est de plus en plus ciblé et le déploiement du Cloud entraîne de nouveaux risques auxquels nous devons nous préparer.

Au-delà de la simple indemnisation financière, quel doit être selon vous le rôle d’un assureur dans l’accompagnement des entreprises face aux risques cyber ?

Le rôle de l’assureur est clé pour accompagner les entreprises et spécifiquement les TPE/PME face à ce risque. Avant même de parler d’indemnisation, AXA est engagé depuis plus de 10 ans, aux côtés des acteurs locaux tels que les CCI par exemple, pour évangéliser les entreprises, leur faire prendre conscience du risque cyber et des moyens de se protéger.

En tant qu’acteur engagé dans la prévention, notre offre cyber a plusieurs fonctions : elle ne propose pas seulement une couverture financière mais également un accompagnement complet en cyber sécurité et en cyber résilience.

Au moment du sinistre, au-delà de l’indemnisation financière (frais de reconstitution du Système informatique, frais de notification en cas de vol de données, perte d’exploitation), nous intervenons pour aider nos clients à faire face à la crise.
En effet, si les grandes entreprises font preuve de maturité dans la mise en place de dispositifs de protection, de plans de continuité d’activité et de gestion de crise, nous constatons que les ETI et les PME ont besoin d’être accompagnées pour mobiliser les ressources nécessaires à leur résilience et nous sommes à leurs côtés.

Une entreprise assurée en cyber auprès d’AXA peut ainsi nous appeler 24h/24 7jours/7 en cas d’attaque. Nous missionnons un expert qui va intervenir très rapidement pour l’aider à prendre les premières mesures d’urgence, mener les investigations numériques pour identifier l’ampleur de l’attaque et l’aider à reconstruire le Système d’Information. Ces services sont vraiment clés et permettent à l’entreprise de redémarrer son activité dans les meilleurs délais.

La réponse à incident cyber implique de nombreuses dimensions : technique, juridique, communication, humaine… Comment construire une approche holistique de la gestion de crise ?

Comme évoqué précédemment, l’approche holistique doit être anticipée. Nous accompagnons les assurés dans leur dispositif de résilience et nous assurons de son caractère opérationnel dans le temps car, lorsqu’une attaque survient, il faut faire face à de nombreuses problématiques.

La 1^ère priorité est la reprise d’activité. Nous l’avons déjà évoqué, l’assureur se doit d’être présent pour aider l’assuré à redémarrer au plus vite.

Très vite d’autres problématiques peuvent se poser : communication de crise, questions juridiques, etc. L’attaque peut aussi avoir des conséquences psychologiques pour les salariés,ouu l’entreprise peut être en incapacité de répondre aux appels de ses clients.

Face à cela, nous mettons à disposition de nos clients un dispositif de crise majeure parfaitement adapté au cas des attaques cyber permettant de les accompagner dans la communication de crise, l’assistance juridique et réglementaire ou le soutien psychologique. Nous sommes aussi en capacité de leur fournir une plateforme téléphonique pour prendre les appels de leurs clients.

On observe une sophistication croissante des attaques avec des modes opératoires qui évoluent rapidement. Comment anticiper et adapter les dispositifs de prévention face à cette menace mouvante ?

Pour garder une longueur d’avance et accompagner au mieux nos assurés, nous avons mis en place depuis plusieurs années un dispositif structurel qui nous permet d’une part d’anticiper l’évolution des menaces en lien avec l’évolution des technologies, d’autre part d’améliorer en permanence les prestations d’accompagnement en cybersécurité proposées à nos assurés :

• Ingénierie prévention internalisée, 

• Partenariats avec des organismes spécialisés et reconnus en cybersécurité / gestion de crise,

• Participation à des groupes de travail de place (livre blanc, normes, …),

• Relations privilégiées avec les autorités au niveau national : Campus Cyber la défense, partenariat public – privé avec l’OFAC (office anti-cybercriminalité de la DCPJ), relations privilégiées avec la Gendarmerie Nationale (Unité nationale Cyber),

• Veille de Cyber Threat Intelligence.

Ce dispositif nous permet très concrètement :

• D’actualiser régulièrement notre politique de souscription,

• De mener de très nombreuses actions de montée en compétence de nos équipes et de nos intermédiaires,

• D’enrichir régulièrement notre offre d’accompagnement.

La cyber-résilience devient un enjeu majeur pour les organisations. Quelles sont selon vous les clés pour construire une véritable culture de la cybersécurité, au-delà des aspects purement techniques ?

La protection n’est pas que technique. Il faut déjà acculturer les chefs d’entreprise au risque cyber. Aujourd’hui toutes les entreprises sont assurées contre l’incendie, et elles savent quoi faire pour se protéger face à ce risque. Notre rôle est de leur faire prendre conscience que cette démarche doit aussi s’appliquer pour le risque cyber.
Par ailleurs, nous savons que le facteur humain est prépondérant dans la réussite d’une attaque. Former les collaborateurs, les sensibiliser également à ce risque est primordial. C’est un défi quotidien face à des attaques de plus en plus sophistiquées qui rendent parfois difficile la détection de mails frauduleux.

Comment voyez-vous évoluer le marché de l’assurance cyber dans les années à venir ? Quels sont les principaux défis à relever pour le secteur ?

Aujourd’hui on considère que seules 10 à 15 % des PME sont assurées contre le risque cyber, alors que les Très Grandes Entreprises le sont quasiment toutes. Très probablement, avec la prise de conscience du risque, les PME vont de plus en plus chercher à s’assurer et cela aura un effet positif sur la résilience de l’économie française.
Ainsi, l’obligation de mise en place de critères d’hygiène informatique pour accéder à l’assurance (ex : sauvegardes, correctifs de sécurité,etc), devrait permettre de gagner en maturité dans la gestion de ce risque.

Nous le constatons déjà et cette tendance va très probablement s’accélérer avec les réglementations à venir : à titre d’exemple, les entreprises soumises à NIS2 ainsi que tout leur écosystème de sous-traitants devraient améliorer leur cyber-résilience.

Dans le même temps, notre quotidien est de plus en plus numérique et le développement de l’Intelligence Artificielle ainsi que les perspectives liées à l’ordinateur quantique font craindre une explosion des attaques.

La question n’est plus de savoir si on sera l’objet d’une attaque, mais plutôt de savoir quand. Et chaque entreprise doit se préparer au mieux à cette éventualité.

Les PME sont particulièrement vulnérables aux cyberattaques. Quelles solutions peut-on leur proposer pour renforcer leur protection tout en restant dans des budgets maîtrisés ?

La prévention est vraiment le maître mot. Je suis convaincue qu’il faut anticiper par temps calme ce qui se transformera en tempête voire en tsunami en cas de cyberattaque. La prévention permet non seulement d’éviter d’être attaqué, mais également, dans le cas où malgré toutes les précautions prises, l’attaque a quand même lieu, de pouvoir redémarrer au plus vite (avec par exemple des sauvegardes déconnectées, un plan de reprise d’activité,etc.)

Grâce à notre ingénierie internalisée et notre réseau de partenaires, nous sommes en capacité d’accompagner les entreprises sur tout le scope de la prévention et de la résilience :

En amont pour protéger, nous avons une approche 360 de la cybersécurité avec des tests. Nous agissons sur le pilier technique avec par exemple des scans d’intrusion, sur le pilier managérial & organisationnel avec des audits de maturité cyber, sur le pilier humain avec des e-learning.  

En aval sur la cyber résilience. Nous proposons des exercices de crise pour les entreprises de taille importante afin de challenger leur dispositif de prévention cyber. Nous accompagnons la reprise d’activité en formalisant des plans de reprise d’activité…

Enfin avec Global Cyber Secure, nous offrons à tous nos clients assurés cyber deux services de prévention : un scan de vulnérabilité avec notre partenaire Board of cyber, une plateforme de sensibilisation des salariés incluant des tests de phishing avec notre partenaire Kamaé.

Qui est Christine SINIBARDY ?

Diplômée de l’Ecole Centrale de Paris, Christine rejoint le Groupe AXA en 1991 où elle occupe diverses fonctions dans le domaine Technique et Souscription des risques d’entreprise. En 2000, elle rejoint AXA France pour prendre en charge des projets de transformation sur les métiers de la production IARD (Incendies, Accidents et Risques Divers) des Particuliers et Professionnels. De 2006 à 2022 elle occupe des responsabilités techniques en Règlements de sinistres IARD, avant de prendre la responsabilité de la branche Risques Techniques et Cyber en avril 2022.