Cybersécurité : des ETI plus matures ?

40% des ETI de plus de 1000 salariés ont subi une cyberattaque

Premier constat, sans surprise : les ETI ne sont pas non plus épargnées par les cyberattaques. Elles sont 32 % à déclarer avoir subi une cyberattaque (21 % au cours des 12 derniers mois), et il existe une corrélation certaine entre la taille de l'entreprise et le nombre d’attaques : plus la taille de l'entreprise est grande, plus nombreuses sont les attaques cyber. 40 % des ETI de plus de 1000 salariés déclarent avoir été victimes d’attaques cyber dans cette étude. 

Les modes d’attaques et les conséquences redoutées différent peu entre les PME et les ETI : pierre angulaire du système économique français, elles craignent elles aussi plus que tout l’arrêt d’activité pour 36 %, une fuite de données pour 29 %, une fraude au faux virement pour 23 %. 

Une prise de conscience du risque cyber plus globale que les PME

Ce qui change par contre de manière notable par rapport aux PME, c’est sans doute la prise de conscience et l'anticipation du risque : si les PME  sont maintenant objectivement au courant et conscientes du risques, les ETI semblent l’avoir mieux appréhendé et sans doute anticipé. Ainsi, 77 % des répondants estiment que le risque augmente, et 81 %, soit 4 entreprises sur 5, se préparent à être attaquées. Le fait que le risque augmente et soit anticipé est une réalité pour les ETI, bien plus que pour les PME qui sont conscientes du risque, mais ne l’ont pas encore forcément anticipé. 

Vincent Nguyen, directeur cybersécurité chez Stoïk, fait à cet égard remarquer que « aucune structure n’est maintenant épargnée par les attaques cyber, et tout le monde peut en être victime. Ce qui change au niveau des ETI, c’est qu’elles ont compris qu’il fallait absolument qu’elles se protègent et se défendent contre ce risque encore considéré comme neuf.  Elles raisonnent de plus en plus en terme d’analyse de risques ».

Ainsi, « la plupart ont mis en place les bonnes pratiques d’hygiène informatique (anti-virus à jour, pare-feu, sauvegardes régulières, etc.), mais essaient aussi d’aller plus loin dans la protection et l’anticipation, avec mise en place d’une authentification à facteurs multiples , sauvegardes dites immuables, mise en place d’un PRA et d’outils de MDR, etc. ». Ce qui montre une approche plus en avance de phase, centrée sur l’anticipation et la protection d’incidents cyber plus que la réaction « a posteriori ».

Un budget cyber qui va augmenter pour 73 % des ETI interrogées

La première conséquence de cette anticipation est l’augmentation du budget informatique : pour 73 % des ETI concernés, soit les trois quart, le budget cybersécurité est ou va être en augmentation. Une bonne nouvelle, en soi, qui montre un degré de maturité sans doute supérieur à celui les TPE/ PME.

Les ETI ont identifié le risque cyber et veulent le couvrir de manière globale. Il n’est donc pas étonnant que l’assureur Stoïk ait mené cette enquête, car, qui d'autre qu un assureur peut proposer une couverture du risque cyber identifié comme tel ? De fait, les ETI songent de plus en plus à la couverture du risque cyber : 51 % des ETI interrogées ont souscrit un contrat d’assurance cyber et… 49 % ne l’ont pas fait. On ne peut pas être plus partagé ! Parmi elles, 42 % ne veulent pas y recourir, parce que les assurances cyber actuelles ne couvrent pas, ou imparfaitement selon elles, le risque cyber.

L’assureur Hiscox, lui aussi auteur d’une étude sur le risque cyber pour les PME, établit que 61 % des TPE/ PME ont souscrit une assurance cyber autonome, et que 15 % prévoient d’en souscrire une.

« L’ordre de grandeur d’une prime cyber est à peu près celui d’une prime de RC pro et les pertes en face sont souvent beaucoup plus substantielles et intenses, car un sinistre cyber peut bloquer un système d’information et interrompre totalement l’activité, mais aussi générer des litiges de responsabilité », souligne Nicolas Kaddeche, directeur technique de Hiscox France.

En clair et quels que soient les assureurs, la souscription à une police d’assurance cyber spécifique coûte, selon la taille de l’entreprise, de quelque centaines à quelques milliers d’euros par an, pour assurer des montants de sinistre qui, si ils se produisent, se chiffrent en dizaines ou centaines de milliers d’euros, sinon plus.

Des ETI plus exigeantes sur la couverture du risque cyber par les assurances

Les ETI se montrent exigeantes sur les garanties offertes par la souscription d’une assurance cyber : à 64 %, elles demandent une indemnisation complète en cas de sinistre, l’accès a des outils à 49 %, la mise à disposition de spécialistes en cas de gestion de crise pour 43 %, et un accompagnement dans le suivi de chantiers cyber.

Les assureurs qui sont à la fois des gens pragmatiques et malins l’ont bien compris : la plupart des compagnies sur le marché mettent en place des « package », qui offrent ou proposent aux souscripteurs, à des tarifs avantageux, les compétences de prestataires, que ce soit des éditeurs de solutions logicielles, ou des prestataires de gestion de crise.

Tout ceci va finalement dans le sens d’une approche plus globale de la gestion du risque cyber. Le cas par cas, la réaction a posteriori, sont lentement, mais sûrement, remplacés par une approche ordonnée et mature, qui fait travailler ensemble les forces de police (pour indemniser un sinistre cyber, tous les assureurs demandent un dépôt de plainte, ce qui veut dire que une enquête est déclenchée et que le phénomène va être connu et combattu), les prestataires de solution et les assurés.