Quelles sont les conséquences des attaques cyber sur les TPE et PME ?

Intitulée, « Risques cyber, analyse de la sinistralité : quels enseignements ? », l’étude examine un échantillon de 59 sinistres (entre 2019 et 2021) de sociétés ayant souscrit une police d’assurance cyber dont 41 concernent des petites et moyennes entreprises dont les impacts financier excédent et 50 000 €.

L’étude confirme en premier lieu la part majoritaire des attaques sur les PME (à 44 %) et les TPE (à 12 %), particulièrement exposées en raison d’un niveau de protection très faible.

Nature, source et profondeur des attaques cyber

Les attaques par rançongiciel constituent près de 90 % des sinistres pris en charge. Pour s’introduire dans le système d’information afin de le compromettre, les attaquants utilisent différents mécanismes :

• les campagnes d'hameçonnage (ou phishing), via un e-mail ou un SMS incitant le destinataire à utiliser un lien corrompu) pour récupérer des mots de passe et des noms d’utilisateurs ou introduire un code malveillant utilisé par la suite qui constituent 30% des dossiers ;
• l’attaque par force brute (23%), en testant avec un logiciel, une à une, toutes les combinaisons possibles ;
• l’usurpation de compte (20%), en tentant d'obtenir un accès non autorisé à des systèmes d'information en se faisant passer pour des utilisateurs autorisés ;
• l’exploitation d’une faille de sécurité (20%) qui permet à un attaquant de pénétrer le système d'information.

Le montant des rançons est très faible en comparaison du préjudice total subi. Le nombre de dossiers concernés par un paiement de rançon est très limité.

Quasiment systématiquement (94 % des cas), les cyberattaques conduisent l’entreprise à devoir reconstruire totalement ou partiellement son système d’information.

Impacts organisationnels des cyberattaques

Toute attaque cyber entraîne des perturbations plus ou moins fortes de l’activité pendant plusieurs semaines, voire plusieurs mois. Beaucoup d’entreprises sous-estiment ou n’ont pas conscience des arrêts ou retards de fonctionnement qui peuvent être générés.

Elles surestiment souvent aussi leur capacité à retrouver rapidement un niveau normal d’activité. Ce retour à la normale représente en moyenne 29 pour les PME et 26 jours pour les TPE.

La perturbation du niveau d’activité peut générer des pertes d’exploitation très élevées. Les frais de reconstitution des systèmes d’exploitation et les frais de gestion de crise constituent les deux autres postes majeurs des frais et pertes des dossiers étudiés.

Prévention et communication

Les polices d’assurances cyber répondent lorsque les risques et leurs impacts ont été correctement analysés et valorisés pour adapter les garanties en conséquence. Le calcul de l’indemnisation de l’ensemble des pertes d’exploitation subies par l’entreprise peut s’avérer très complexe.

La cyber résilience est l’affaire de tous. Elle doit être pilotée au plus haut niveau de l’entreprise qui saura allouer ressources et budgets adaptés.

Sur le plan de la communication, manifester une mobilisation en demi-teinte, déconnectée de l’ampleur de l’attaque, est improductive en termes d’image. Il faut savoir communiquer auprès de ses cibles de manière forte et assumée.

Une analyse BESSÉ / G.P. Goldstein sur 48 incidents cyber sur des entreprises françaises non cotées entre 2017 et 2021 montre un résultat fort et fondamental : le risque de défaillance de l’entreprise augmente d’environ 50 % dans les 6 mois qui suivent l’annonce de l’incident. Une analyse de corrélation avec les échos négatifs sur les réseaux sociaux semble indiquer que c’est bien la réputation de l’entreprise qui est en partie en jeu dans la dégradation économique significative suite à l’incident cyber.

Pour vous aider à prévenir les cyberattaques, consultez notre rubrique consacrée à la cybersécurité.

En savoir plus

• BESSÉ et Stelliant dévoilent les principales conclusions de leur étude sur la sinistralité cyber des entreprises
• Risques cyber, analyse de la sinistralité : quels enseignements ? (pdf ; 31 p. ; 2,55 Mo)