Les PME sont toujours plus la cible des cybercriminels car souvent elles ne disposent pas des stratégies, des processus et des budgets de cybersécurité avancés dont disposent les grandes entreprises.
Les cyberassurances peuvent jouer un rôle important pour les aider à comprendre leur exposition aux risques et à réduire l’impact financier des attaques. Elles permettent non seulement de limiter les pertes potentielles, mais aussi de renforcer la préparation sécuritaire générale.
En 2024, près de 47 % des entreprises avec un chiffre d’affaires annuel inférieur à 10 millions de dollars ont subi une cyberattaque, alors que seulement 17 % des PME souscrivent une cyber assurance. Elles sont donc nombreuses à être exposées à de graves risques financiers.
Souscrire une assurance n’est pas que signer un formulaire. Les assureurs exigent des preuves tangibles d’une cybersécurité robuste : authentification multifacteur (MFA), plans de réponse robustes aux incidents, formation du personnel, protection des terminaux, sauvegardes et routines de correctifs vérifiées sont des exigences standard. En ne respectant pas ces exigences, les entreprises s’exposent à des primes exorbitantes, ou à un rejet pur et simple de leurs demandes d’indemnisation.
En 2024, 88 % des incidents par rançongiciel touchaient des PME. Selon le rapport 2024 d’IBM « Coût d’une violation de données », le coût moyen d’une attaque s’élevait à 4,91 millions de dollars et les dépenses augmentaient en cas d’intervention des forces de l’ordre. La récupération peut prendre des jours, des mois ou des années, selon l’auteur de la menace et le niveau de préparation de l’équipe de sécurité. En plus des coûts de récupération immédiats, le temps d’arrêt et l’atteinte à la réputation sont importants. Les consommateurs hésitent à faire affaire avec une entreprise victime d’une violation. Une cyberassurance est donc devenue indispensable.
Mais les assureurs ne sont plus disposés à souscrire des assurance sans preuve évidente de la mise en place des mesures de sécurité et l’entreprise doit faire preuve de discipline opérationnelle. Un plan de réponse aux incidents (PRI) documenté est essentiel pour prouver que les équipes savent comment réagir en cas d’incident. Ils exigent aussi que les entreprises organisent régulièrement des formations pour leurs employés, des simulations d’hameçonnage et des programmes de sensibilisation pour réduire les risques lors d’attaques d’ingénierie sociale.
Tous ces contrôles forment la base d’une culture de sensibilisation aux risques, qui adhère aux principes de confiance zéro, renforce les contrôles d’accès et privilégie l’hygiène des mots de passe. Pour les assureurs, cela indique que l’organisation gère activement son exposition. Mais souvent les PME sous-estiment les attentes des assureurs. Plutôt que de déclarer une intrusion après une violation, leur cybersécurité devrait répondre anticipativement aux attentes des assureurs.
Lors de la souscription et de l’examen des sinistres, les assureurs exigent souvent une MFA. L’adoption d’une MFA robuste (applications d’authentification, clés de sécurité) pour l’accès à distance, la messagerie électronique et les connexions administrateur réduit les risques et donc le coût des primes. Les assureurs refusent les polices sans contrôle actif des terminaux et sans correction documentée des vulnérabilités. Les cycles de correctifs et les mises à jour régulières démontrent une gestion proactive des risques. Les sauvegardes ne suffisent pas, il faut des tests réguliers de récupération et un stockage sécurisé. Des sauvegardes efficaces peuvent prévenir d’importants sinistres.
La CISA (Agence pour la cybersécurité et la sécurité des infrastructures) recommande la définition et la pratique trimestrielle d’un plan d’intervention d’urgence (PIU), comprenant des exercices pratiques et des bilans après-exécution. Un PIU indiquant le niveau de préparation, est un atout majeur pour les assureurs.
L’erreur humaine peut être à la base de violations et rend la formation du personnel essentielle. Les assureurs exigent des programmes documentés comprenant des tests d’hameçonnage, des procédures de signalement et des mises à jour. Gérer les polices, les journaux, les présences aux formations, les rapports de correctifs et les exercices de réponse aux incidents sont super importants. La perte de tels documents est une cause fréquente de rejet de sinistres.
Souscrire une cyberassurance commence par la mise en place de bases solides en matière de cybersécurité. Les PME doivent évaluer leur situation, identifier et combler les lacunes dans des domaines clés comme l’authentification multi facteur (MFA), l’EDR, les sauvegardes et la formation des utilisateurs. Utiliser des prestataires de services gérés (MSP) ou des auditeurs tiers peut renforcer la crédibilité et souligner le suivi des meilleures pratiques. Les assureurs apprécient les preuves de préparation – plans d’intervention documentés, exercices de simulation trimestriels et accès aux journaux et à la télémétrie en temps réel.
Lors d’une violation, une action rapide et documentée est essentielle. Les assureurs et les régulateurs exigent des rapports rapides, des procédures d’intervention rigoureuses et des enregistrements prouvant la formation des employés et le comportement des systèmes. En plus de l’assurabilité, ce niveau de préparation aide les PME à adopter la transformation numérique en toute sécurité. L’entreprise est plus résiliente, prête à se développer avec confiance et crédibilité sur un marché sensible aux risques, conclut ESET.