Logo Cyber Cover
Retour aux articles

Dans un environnement stockant de plus en plus de données, favorisant les échanges d’information entre les individus et les entreprises, les risques cyber sont amplifiés mettant en danger les PME. Les principaux chiffres à connaître.

La donnée règne partout devenant par la même occasion la valeur centrale des entreprises. Les clients accordent leur confiance à une entreprise, en ayant l'assurance que leurs informations sont bien protégées. L’idée largement partagée est que les cyberattaques ne toucheront pas mon entreprise… « Je suis passé sous Cloud… tout va bien.  Je suis mieux sécurisé maintenant qu’il y a 3 ans…. »La réalité est malheureusement différente. Environnement Cloud ou pas, les PME sont largement concernées par la cybercriminalité, qui continue à innover afin de contourner les niveaux de défense mis en place.  

Examinons quelques statistiques sur la cybersécurité qui vous aideront, nous l’espérons, à aborder la cyber assurance et la cybersécurité sous un autre angle.

 

1. Les PME courent le plus grand risque de cyberattaques.

Près de 60 % des victimes d'attaques de logiciels malveillants (malware) sont des petites et moyennes entreprises. Les petites entreprises sont souvent plus vulnérables que les grandes entreprises, qui possèdent davantage de ressources pour protéger leur système d’information et leurs données personnelles. Il est plus facile pour un pirate informatique de cibler une entreprise réalisant du e-commerce, un cabinet d’expert-comptable ou un cabinet d’avocats traitant un volume important de données, que de s’attaquer à une grande entreprise du CAC 40 qui a lourdement investi dans la sécurisation de son système d’information.

 

2. Le coût financier moyen pour une PME d’une cyberattaque est estimé entre 300 K€ et 500K€.

Pour les petites et moyennes entreprises, cela peut représenter un énorme impact financier difficilement surmontable. Ces chiffres s’appuient sur une étude menée par CISCO en 2018 sur le segment des PME (CISCO cybersecurity special report) sur le marché américain qui précise que pour 54 % des PME victimes d'une cyber intrusion, la perte était > à 500 k€. Ces chiffres varient en fonction de la zone géographique, de la taille de l’entreprise, du secteur d’activité, de la capacité à redémarrer rapidement son activité, des fuites de données éventuelles et leurs conséquences.
Citons le PONEMON INSTITUTE qui chiffre le coût d’une cyber attaque en listant les coûts visibles et les coûts moins visibles d’une cyber intrusion.

 

PME : Partie émergée (coûts financiers les plus connus)

  • Enquêtes technique / frais de restauration
  • Notification client de l’intrusion (RGPD)
  • Mise en conformité réglementaire (RGPD)
  • Honoraires d’avocat et frais de justice
  • Sécurisation des données client post-incident
  • Relations publiques
  • Amélioration des dispositifs de cybersécurité

 

PME : Partie immergée (coûts financiers cachés ou moins visibles)

  • Augmentation du coût de la dette
  • Impacts liés à la perturbation ou l’interruption des activités
  • Erosion du chiffre d’affaires liée à la perte de contrats client
  • Dépréciation de la valeur de marque
  • Perte de propriété intellectuelle
  • Perte de la confiance accordée par le client

Notons un point essentiel qui est que ces coûts financiers ne sont pas couverts par les contrats d’assurance traditionnels à la différence des nouveaux contrat d’assurance cyber qui participent grandement à prendre charge ce coût.

cyber_assurance

3. Les données personnelles de santé sont les plus recherchées par les cybercriminels

En raison des nombreux renseignements personnels qu'ils contiennent, les établissements de santé sont les plus à risque face à hackers bien organisés. Plus de la moitié des attaques par ransomware ont visé des établissements de santé dans le monde avec à la fois un impact direct sur la sécurité des soins et un impact économique. L’exemple le plus récent en France concerne un groupe privé et ses 120 centres hospitaliers qui ont été privés de messagerie et d’application métiers,  pendant une dizaine de jours, suite à une attaque informatique survenue le 10 Août 2019 

Les laboratoires de biologie médicales restent également une cible privilégiée au regard du nombre important de données stockées vs niveaux de protection engagés.

Les secteurs des finances, les sous-traitants travaillant pour de grandes entreprises suivent de près cette liste de secteurs d’activité très ciblés.

 

4. Le RGPD a renchéri les coûts financiers liés à la violation des données personnelles consécutive à une cyber attaque.

Les entreprises s’engagent dans le cadre du RGPD (Règlement Général sur la Protection des Données) à assurer la sécurité des données qui leur sont confiées (en tant que responsable de traitement ou sous-traitant). La coresponsabilité demeure la règle à prendre en compte en cas de violation des données personnelles.

Plus question de cacher la violation de votre système d’information…. Vous avez une obligation de déclarer à la CNIL toute violation des données stockées ou traitées dans les 72 heures avec les conséquences financières évoquées au point 2 (frais de notification, mise en conformité, frais d’avocat, sanction administrative pouvant aller jusqu’à 4 % du CA mondial …).

Ces frais non couverts par vos contrats d’assurance traditionnels sont pris en charge par certains contrats d’assurance cyber & RGPD proposés par CYBER COVER.

 

5. 50% des attaques de logiciels malveillants proviennent du courrier électronique

Nous avons tous appris à nous méfier des « pourriels » il y a des décennies, et nos soupçons ont été confirmés. Les logiciels malveillants sont plus susceptibles d'être transmis aux entreprises par courrier électronique, sous la forme de pièces jointes. Rappelez-vous qu'il vaut mieux garder un peu de scepticisme lorsque vous ouvrez des courriels que d'introduire des programmes malveillants dans vos systèmes informatiques.

 

6. Les logiciels malveillants ciblant les mobiles ont augmenté de 54 % en 2018

Les cyberattaques ne concernent pas seulement les ordinateurs de bureau et les ordinateurs portables. Maintenant, ils ciblent également les appareils mobiles qui stockent une richesse de données. Le smartphone est un point d’accès particulièrement sensible au système d’information de l’entreprise, auquel les collaborateurs sont connectés en permanence. Une vulnérabilité à plus d’un titre car, au-delà des menaces « informatiques », les mobiles sont susceptibles d’être volés ou perdus. Au regard du RGPD, il est essentiel de traiter la question de la sécurisation de la mobilité d’entreprise !

cyber_assurance

7. 99,9 % des logiciels malveillants mobiles se trouvent dans les boutiques d'applications tierces

Comme si nous avions besoin d'une bonne raison de nous en tenir à Google Play et iTunes, voici peut-être la plus convaincante. Les applications malveillantes mobiles sont en hausse comme nous venons de le voir, et on les trouve en grande partie dans les boutiques d'applications tierces. Parce qu'il est difficile de savoir quelles applications sont porteuses de logiciels malveillants, votre meilleur choix est de télécharger des applications à partir de magasins réputés seulement.

 

8. Une atteinte à la cybersécurité se produit, en moyenne, toutes les 39 secondes.

Quand nous ne voyons pas activement les preuves d'une attaque, il est facile de se reposer sur ses lauriers. Cependant, une étude réalisée par l'Université du Maryland montre que les cyberattaques se produisent autour de nous au rythme d'une toutes les 39 secondes. C'est un fait qui donne à réfléchir et qui devrait nous rappeler de rester vigilants.

 

9. Le facteur humain : le maillon faible du système informatique des entreprises

Les cyberattaques les plus dangereuses auxquelles sont aujourd’hui exposées les entreprises exploitent le facteur humain. Le salon FIC (Forum International de la Cybersécurité) qui s’est tenu à Lille en janvier dernier a notamment rappelé que 70% des problèmes de sécurité impliquaient directement les employés. Dans 90 % des cas, ces attaques commençaient par l’ouverture d’un email. Deux scénarios principaux sont possibles : soit les personnes sont manipulées par phishing et communiquent des informations sensibles aux pirates, soit elles ouvrent une pièce jointe infectée qui installe un cheval de troie sur leur système. Les entreprises peuvent également être exposées à ce type d’attaques par les réseaux sociaux.

 

10. PME / TPE : 4000 victimes par mois recensées sur la plateforme d’aide www.cybermalveillance.gouv.fr

L'hameçonnage est le mode d’attaque le plus fréquemment rencontré, les cybercriminels utilisant de nouvelles méthodes afin de tromper la vigilance des entreprises.

Les infections viennent des serveurs de PME directement accessibles sur internet, sans autre protection qu’un mot de passe. Les pirates ont des robots qui scannent le web en permanence et testent les serveurs de façon automatisée. Ils arrivent très facilement à craquer les mots de passe faibles et à pénétrer dans le système d’information.

 

11. 60% des petites entreprises cessent leurs activités dans les 6 mois suivant une cyberattaque

Nous avons vu quelques statistiques sur la cybersécurité qui montrent à quel point une cyberattaque malveillante peut être coûteuse, surtout pour les petites entreprises. Malheureusement, ces attaques peuvent même être fatales. Près des deux tiers des petites entreprises qui subissent une atteinte à la sécurité fermeront leurs portes en moins d'un an, en raison des coûts élevés qu'elles encourent.

 

12. Seulement 38 % des petites entreprises mettent régulièrement à jour leurs logiciels de sécurité

Bien que les cyberattaques puissent être dangereuses et même entraîner la faillite d'entreprises, de nombreuses petites entreprises ne parviennent toujours pas à maîtriser leurs mesures de sécurité. En mettant régulièrement à jour les logiciels de protection et en se tenant au courant des nouvelles tendances de la cybercriminalité, les entreprises peuvent prévenir les catastrophes.

 

13. Assurance cyber-risques : moins de 5 % des PME déclarent avoir souscrit une cyberassurance

L'une des façons les plus simples et la moins onéreuse de se protéger est de transférer le risque cyber sur un contrat de cyber-assurance  spécifique.

Ces contrats sont extrêmement abordables (autour de 1200 € / an pour un contrat offrant 1 000 000 € de couverture) et proposent des niveaux de garanties complets allant de la gestion de crise, en passant par le paiement des rançons, les frais informatiques, l’assurance RGPD (paiement des frais de notification GDPR et sanctions administratives légalement assurables), les recours RC.

CYBER COVER spécialiste de la cyber assurance en France propose une large sélection d’offres assurance cyber & RGPD sur mesure et une tarification en ligne immédiate. Votre devis assurance CYBER COVER.

 

cyber_assurance

14. Les dépenses de sécurité d'une entreprise représentent moins de 5 % de ses dépenses IT de l’entreprise.

Certaines entreprises persistent à privilégier la productivité au détriment de la sécurité ou pensent n’avoir jamais subi ou à subir de cyberattaques. Pourtant, les entreprises à n’avoir jamais été attaquées restent une denrée rare au regard des chiffres du Cesin, indiquant qu’en 2017, 9 entreprises sur 10 ont été frappées par une attaque informatique.

 

En conclusion

Dans un contexte d’interconnexion des systèmes d’information qui oblige à ouvrir les réseaux tout en renforçant leur sécurité, la sécurité informatique doit être inscrite dans le projet global de sécurité, au même titre que la sécurité des personnes, des biens ou la sécurité incendie.

Les risques et les modes de diffusion des cyber risques sont diffus, en constante évolution.

 Ces chiffrent montrent que les cyberattaques constituent une menace croissante pour les entreprises de toutes tailles et plus particulièrement les PME.

Adopter une position offensive en se préparant à une cyber attaque c’est décider de mettre la cyber sécurité au cœur de votre stratégie. Si vous êtes chef d'entreprise, soucieux de protéger votre bien, ces indicateurs montrent pourquoi la cybersécurité est plus importante que jamais et l’utilité de souscrire une assurance cyber sur mesure une immédiate nécessité.

 Marc-Henri BOYDRON

 

 

Revenir aux articles

Nos offres Cyber Assurance

Assurance cyber

Faire face à une cyber attaque

  • Assistance - Gestion de crise 24/7
  • Atteinte aux données / RGPD

Transférer le risque financier d'une cyber attaque

  • Prise en charge des dommages subis
  • Responsabilité civile cyber
Notre couverture Cyber
Offre Abonné

Cyber prévention

Vous préparer à une cyber attaque

  • Cyber diagnostic préventif
  • Service Security Rating
  • Surveillance exposition web 24/7
  • Entrainement au Phishing
  • Plateforme sensibilisation cybersécurité
  • Exercice entrainement à une cyber crise
Notre service prévention

Diagnostic Cyber

Demandez un diagnostic gratuit de votre exposition aux risques numériques.

Obtenez votre devis
Diagnostic Cyber

01 89 73 01 15