Si elles font moins la une des journaux que les attaques visant les hôpitaux ou les grandes entreprises, les PME sont, elles aussi, concernées par les menaces cyber. Mais une étude constate le décalage entre la prise de conscience des risques et la multiplication des menaces.

Près de 7 PME sur 10 pensent qu’elles n’intéressent pas les pirates. Année après année, c’est le même constat : « on n’a rien à pirater, car on fabrique des macarons ». Cela peut sembler caricatural, mais ce propos peut être adapté à tous les secteurs d’activité des PME.

L’étude réalisée par l’IFOP pour Stoïk, qui associe assurance et logiciel de sécurité contre les cyberattaques, est édifiante. Cette enquête a été menée auprès d’un échantillon de 400 dirigeants ou directeurs informatique d’entreprises de 10 à 250 salariés, représentatifs des entreprises de 10 à 250 salariés françaises.

« Au cours des 12 derniers mois, ce sont près de 6 000 PME, qui ont vu leurs systèmes informatiques hackés. Face au risque, bien réel, les dirigeants de ces entreprises doivent impérativement se préparer et s’assurer », annonce d’emblée Stoïk.

Les PME, cibles régulières des cybercriminels

D’un côté, la situation devient de plus en plus risquée pour ces entreprises. 4 % d’entre elles déclarent d’ailleurs avoir été victimes d’une cyberattaque au cours des 12 derniers mois. Au total, ce sont environ 6 000 entreprises de 10 à 250 salariés qui sont touchées au cours des 12 derniers mois.

Les secteurs les plus vulnérables sont l’agriculture et l’industrie, représentant 12 % de ces actes de malveillance, tandis que le BTP semble être à la fois le secteur d’activité le plus épargné, mais aussi le plus sensibilisé à la question.

En 2022, seul 1 % des PME du bâtiment a été visé par une cyberattaque, contre 12 % il y a plus d’un an. Une diminution qui trouve sans doute son explication dans les dispositifs de cybersécurité mis en place par ces entreprises, qui ont pris la mesure du danger.

Dans leur ensemble, ce sont 67 % des petites et moyennes entreprises qui ont, d’une manière ou d’une autre, déjà été confrontées au risque cyber, qu’elles en aient été directement victimes, ou qu’elles craignent que leurs données soient mal protégées.



Et pourtant, cette étude relève encore un fort décalage entre la perception du risque et la réalité : près de 7 entreprises interrogées sur 10 (69 %) continuent malgré tout de penser qu’elles ne constituent pas une cible potentielle. Une perception partagée par tous les secteurs, qu’il s’agisse de l’agriculture ou de l’industrie (74 %), du BTP (72 %), ainsi que du tertiaire (68 %).

Au contraire, parmi les PME qui craignent de se faire attaquer, 58 % ont déjà été victimes d’une cyberattaque. En effet, la prise de conscience est beaucoup plus forte auprès des entreprises ayant déjà subi une cyberattaque, ces dernières ressentant un fort sentiment de vulnérabilité.

En un mot, la plupart de ces entreprises attendent, pour réagir, de se trouver face à une vraie menace. Or, il est souvent déjà trop tard et la facture est beaucoup plus élevée que des actions préventives !

Si elles n’ont pas toutes conscience du risque, la plupart des PME souhaitent en revanche être mieux soutenues pour y faire face. 76 % d’entre elles sont ainsi en demande d’un accompagnement cyber spécifique de la part de leur assureur.  

Indemnisation

Une attente qui se fait encore plus prégnante au sein des petites structures, employant moins de 100 salariés. Conscientes de leur vulnérabilité, près de 1 sur 2 se fait ainsi écho de cette demande, faute de moyens pour mettre en place elles-mêmes des dispositifs de cybersécurité efficaces.

Au-delà de la seule protection, c’est ainsi une couverture globale et des conseils experts que les entreprises attendent de la part de leur assureur pour faire face à ce risque complexe.



Le sujet des paiements des rançons a fait couler beaucoup d’encre alors que l’Etat était prêt à valider l’indemnisation des rançons par les cyberassurances début septembre. Stoïk a souhaité en savoir plus sur les attentes spécifiques des PME sur le sujet.

Logiquement, 62 % d’entre eux attendent de leur assureur qu’il indemnise la rançon alors que les attaques par rançongiciel restent le premier risque cyber pour les entreprises dans le monde.

Rappelons que mi-novembre, l’article 4 de la loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi) a été élargi : il ne concerne plus uniquement le remboursement d’une rançon dans le cadre d’une clause assurantielle, mais toute cyberattaque. Les entreprises bénéficient désormais de 72 h pour déclarer une attaque avec ou sans demande de rançon pour bénéficier de la garantie de l’assureur.

« Pour protéger les PME d’un risque qu’elles ne maîtrisent pas, il est nécessaire que l’assureur joue le rôle d’assureur-protecteur en intégrant l’expertise cyber à son expertise assurantielle. Ainsi, l’assureur accompagne les PME dans la gestion de leur posture de sécurité et devient lui-même un meilleur gestionnaire de ce risque. En cas d’attaque, une assurance cyber dédiée minimisera les conséquences », conclut Jules Veyrat, CEO et cofondateur de Stoïk.