Les fraudes informatiques se multiplient et concernent toutes les entreprises, qu’importent leur taille, leur chiffre d’affaires ou leur activité. Leurs conséquences, outre les pertes financières, sont désastreuses. Elles touchent bien plus que le service informatique et peuvent atteindre durablement l’image de l’entreprise.
Le courtier lyonnais Ghislain Gelpi (Assurances Gelpi), dont l’écosystème se compose principalement de cinq assureurs (AIG, Hiscox, AXA, Generali, Stoick), qui revendique environ 150 clients transporteurs, note en effet une recrudescence des cyberattaques. « 80 % des entreprises françaises ont constaté au moins une cyberattaque dans l’année et plus de la moitié sont des PME, plus vulnérables que les grands groupes souvent suréquipés. Près de 60 % des victimes d’attaques de logiciels malveillants (malware) sont des petites et moyennes entreprises. 60 % d’entre elles cessent leurs activités dans les six mois suivant une cyberattaque compte tenu du coût des dommages », introduit-il.
Il faut donc prendre au sérieux le sujet de la cyberassurance et de la couverture de ce risque résiduel. Une assurance cyber est une assurance multirisque professionnelle qui couvre l’entreprise sur ses opérations et transactions numériques. Souscrire une cyberassurance protège les données des potentielles cyberattaques : perte ou vol d’informations et de données confidentielles, piratage, demande de rançon à la suite d’un blocage de données (ransomware), attaque de serveurs… Les contrats de cyberassurance couvrent en principe tous les risques liés à l’informatique de l’entreprise : les virus, les attaques, les rançons, l’hameçonnage, le blocage du système informatique, entre autres. Or, force est de constater que le taux d’équipement en assurance cyber est faible en France : « 3,2 % des PME et 10,5 % des ETI sont couvertes par un contrat d’assurance cyber, poursuit-il. Là où le bât blesse : les TPE/PME ont tendance à confondre société d’infogérance et assurance et ne sont pas couvertes en cas de sinistre. » Ghislain Gelpi conseille de souscrire une assurance avant de se faire attaquer. Mais pour bénéficier d’une cyberassurance, les entreprises doivent faire la preuve d’une base minimum en matière d’hygiène de sécurité de l’information, avec la mise en place d’un certain nombre de mesures considérées par les assureurs comme étant les critères minimums.
« Une entreprise qui aura été victime d’une cyberattaque aura beaucoup de difficultés à trouver un assureur. Dans ces cas-là, les compagnies sont très regardantes », prolonge Ghislain Gelpi. Ce que confirme Nicolas Guyamier, président des Transports Guyamier (260 collaborateurs, 32 M€ de CA 2023), en Gironde (33). Victime d’un phishing, (un mail frauduleux utilisé par les fraudeurs pour obtenir des informations confidentielles) en 2016, son entreprise a de nouveau été la cible d’une attaque, cette fois-ci d’ampleur, fin novembre 2023. « Début octobre, nous sommes passés à la fibre. Puis un photocopieur est tombé en panne. L’opérateur qui gère notre parc informatique est alors intervenu. Mais, en paramétrant la machine, le technicien a ouvert les ports. Les outils comptables se sont arrêtés les uns après les autres. Puis, j’ai reçu une notification sur mon poste de travail que j’ai envoyée à notre DSI. Son constat était sans appel : notre serveur avait été piraté. Le campus cyberattaque de Nouvelle-Aquitaine et la gendarmerie sont alors intervenus. Nos disques durs ont été saisis pour être analysés. Notre activité a été paralysée pendant dix jours avant que nous puissions redémarrer secteur par secteur, jusqu’à retrouver une situation normale début janvier. En attendant, nos équipes ont fonctionné à la mano. » Si, par le passé, le groupe avait mis en place un plan contre les cyberattaques, en revanche, il n’avait pas souscrit d’assurance. Fort heureusement, l’opérateur a reconnu sa responsabilité et a tout pris en charge. Suite à cet épisode malheureux, les Transports Guyamier ont donc décidé de souscrire une assurance cyber. « Nous sommes en négociation et étudions environ cinq offres. Notre priorité : être assurés pour la perte d’exploitation. Mais comme nous avons été attaqués, c’est compliqué d’être assurés. » Concernant les tarifs de l’assurance, « il y a de tout ! lâche Nicolas Guyamier… de 10 000 euros jusqu’à 50 000 euros par an ».
Il faut dire que la multiplication des attaques cyber a fortement affecté le coût des assurances… La cotisation annuelle doit toutefois être mise en rapport avec les conséquences financières d’un éventuel sinistre, qui peuvent être très lourdes : paiement d’une rançon, pertes d’exploitation en cas d’arrêt de l’activité, recours de tiers…
En moyenne, une cyberattaque coûte 58 600 euros à une entreprise, d’après BNP Paribas. « Si les primes n’ont cessé d’augmenter ces dernières années, les tarifs se stabilisent depuis l’année dernière », observe Ghislain Gelpi. D’après lui, si une entreprise a mis en place des outils et solutions de lutte contre la cybercriminalité, le montant des assurances sera réduit en conséquence. « L’un de nos clients transporteur a mis en place des actions sur le plan informatique, ce qui a permis d’améliorer le risque. L’aléa étant plus faible, nous avons pu lui abaisser les niveaux de franchise et de prime, de l’ordre de 20 % », cite-t-il, pour exemple.
De son côté, Caroline Templier, responsable juridique et assurances au sein du Groupe Blondel (350 M€ de CA 2023, 3 000 salariés), confirme que la facture s’est alourdie. « Nous avons souscrit un premier contrat cyber en 2019 avec Axa XL. Le montant de la prime était assez dérisoire, soit environ 5 000 euros par an. » Mais, ensuite, les tarifs ont flambé ! En 2021, l’entreprise change de compagnie et contracte une assurance cyber chez Hiscox. Le budget a alors doublé, soit 11 000 € environ. Puis l’entreprise se voit contrainte de changer à nouveau d’assureur. « Un mois avant l’échéance de fin de contrat, nous avons reçu fin 2021 un courrier de résiliation. En 2022 et 2023, nous n’avons donc pas été assurés, car nous n’arrivions pas à nous assurer. Les compagnies avaient revu à la hausse leurs exigences minimales que nous ne remplissions pas. Nous n’étions donc plus assurables. Pourtant, si nous avions subi quelques attaques banales (virus, tentatives d’intrusion…), nous n’avions jamais eu de failles dans notre système ni perdu de données. »
À l’époque, cette situation incite l’entreprise à se remettre en question, se soldant par un gros investissement engagé ces trois dernières années dans la cybersécurité, à la fois dans des moyens humains et techniques. D’autant plus que le cahier des charges de certains donneurs d’ordres inclut de plus en plus souvent des clauses d’assurance cyber, comme le confirme Caroline Templier. « Dans le cadre du renouvellement de son contrat 2024, l’un de nos clients a exigé la mise en place d’une garantie cyber. Cela a été l’occasion de tester à nouveau le marché. » Depuis le 1er janvier 2024, le transporteur et logisticien a donc réactivé une assurance cyber, cette fois-ci chez AIG. Le montant de sa prime annuelle s’élève à 22 000 €.
Caroline Templier est d’avis que souscrire une assurance cyber adaptée aux risques spécifiques du secteur est complexe et fastidieux. « Nous avons dû remplir des questionnaires de souscription extrêmement techniques, entre 50 et 100 lignes chacun. Et chaque assureur a son propre document. Lesquels sont impossibles à remplir sans l’intervention d’un directeur informatique. Et si vous répondez “oui” à la question “avez-vous subi une attaque ?”, vous déclenchez aussitôt des alertes ! De même, si vous ne remplissez pas les prérequis minimums (double authentification, stratégie de mots de passe…), s’assurer devient mission impossible », déplore-t-elle.
