#NEWS

18/10/2021

PME : comment se protéger des conséquences d’une cyber attaque ?

Près d’une PME sur deux a été victime d’une cyberattaque en 2020. Les pirates informatiques ne se contentent plus de voler des données : ils les prennent en otage et réclament une rançon… Les entreprises doivent apprendre à faire face à ce nouveau risque, qui compromet parfois leur survie. Mais parce que le risque zéro n’existe pas, elles doivent aussi penser à l’assurance !

 

 

Cybersécurité : toutes les PME sont concernées !

 

« Notre entreprise est trop petite pour intéresser les pirates informatiques » : beaucoup de PME se cachent derrière cette affirmation… totalement fausse. Désormais, les PME sont parmi les cibles préférées des hackers.

 

Un rapport du Sénat, publié en juin 2021, dresse en effet un tableau inquiétant de la cybersécurité des entreprises. On y apprend en particulier que :

– Le coût de la cybersécurité, au niveau mondial, atteindra 6000 milliards de dollars par an, à compter de 2021 (contre la moitié en 2015) ;

– 43% des PME ont constaté un incident de cybersécurité en 2020 ;

– Les attaques de « rançongiciel » ont été multipliées par 4 entre 2020 et 2021 ;

– Dans 16% des cas, la survie de l’entreprise attaquée est menacée. (Un chiffre bien supérieur dans le cas des TPE et PME : 71% d’entre elles ne « s’en remettraient pas » selon une étude de Symantec.)

 

Si les PME sont désormais une cible privilégiée des pirates informatiques, c’est qu’elles sont particulièrement vulnérables :

– Elles n’ont généralement ni les moyens, ni le temps, ni les compétences suffisantes en interne pour assurer une sécurité optimale de leurs systèmes informatiques ;

– Les collaborateurs sont souvent moins bien formés et informés des risques, comme l’hameçonnage par exemple ;

– Le développement massif du télétravail en 2020, pour faire face aux mesures de confinement, a accru les risques.

 

 

Rançongiciel : vos données prises en otage

On appelle rançongiciel (ransomware en anglais) une attaque qui consiste à bloquer toutes vos données sur votre site par cryptage, et à exiger le versement d’une rançon en échange du mot de passe de déchiffrement, qui les rendra à nouveau accessibles.

 

 

Connaître les cyber-risques pour les combattre…

 

Bien sûr, certaines mesures simples – à commencer par la sensibilisation des utilisateurs – permettent de réduire le risque. Le Ministère de l’économie, des finances et de la relance a d’ailleurs publié début 2021 un petit livret d’information intitulé « La cybersécurité pour les TPE/PME en 12 questions ». A travers 12 questions clés, ce guide invite les PME à s’interroger sur leurs pratiques (en matière de sauvegarde, d’antivirus, de parefeu, de formation des collaborateurs…) et leur propose des conseils et des ressources.

 

Parallèlement, le dispositif AlerteCyber a été déployé pour prévenir et conseiller les entreprises en cas d’intensification de la « cyber menace ». Concrètement, un message d’alerte sera émis, accompagné de conseils pratiques, en cas de découverte d’une grosse faille de sécurité sur un outil numérique fréquemment utilisé par les PME. Il sera diffusé via les organisation patronales, et envoyé par mail à leurs adhérents…

Enfin, la plateforme Cybermalveillance.gouv.fr propose des conseils de sécurité mais également de recueillir les signalements et les plaintes des particuliers ou professionnels touchés.

 

 

…mais aussi s’assurer, face à cette nouvelle menace

 

Malgré cette mobilisation, aucune PME n’est à l’abri d’une cyber-attaque. Chaque année, des centaines de PME subissent une attaque par un ransomware. Et chacune perdra plusieurs dizaines de milliers d’euros – selon une étude du MEDEF (2019), le préjudice financier s’élève à plus de 50 000 euros pour 20 % des PME, et à plus de 100 000 euros pour 13 % d’entre elles.

 

En effet, à la rançon (qui peut aller de 2 000€ à plusieurs dizaines de milliers d’euros, voire plus), dont le versement ne garantit pas la récupération des données, s’ajoutent les coûts de remplacement des machines infectées (PC, machines-outils…), la restauration des données perdues…

 

La solution passe aussi par l’assurance. Les assureurs proposent en effet des contrats « risque cyber », dont les garanties peuvent varier et qui peuvent couvrir :

– les frais engagés pour identifier l’attaque et les données impactées, mais aussi les restaurer ;

– et/ou les pertes d’exploitation et les surcoûts de fonctionnement ;

– et/ou la « cyber responsabilité » (atteintes aux données personnelles des clients ou des salariés par exemple) ;

– et/ou les impacts en termes de réputation auprès de ses clients et collaborateurs ;

– un accompagnement dans la gestion de crise

 

Le contrat, qui doit donc être choisi en fonction des besoins et de l’activité de l’entreprise, est indispensable. Et pourtant, si le taux de couverture des PME a progressé de 16,3% entre 2019 et 2020, il reste incroyablement faible : 0,0026 %[1]. Il est temps pour les PME de se protéger de ce nouveau risque.

 

[1] Source : Etude LUCY, Lumière sur la Cyberassurance, de l’AMRAE, édition 2021