En 2020, près de la moitié des sociétés françaises ont été ciblées par une cyber-attaque. Pour autant, les couvertures peinent à se diffuser selon Hiscox.
L’assureur spécialisé dans le domaine des risques professionnels, publie le 19 avril, un rapport dans lequel il dénombre les entreprises françaises ciblées par une cyber-attaque, à près d’une sur deux en 2020. Leur nombre est passée de 34% à 49% durant l’année et certaines d’entre elles en ont subi plus d’une. Le rapport met en lumière le risque grandissant de la cyber-menace qui prend une tout autre ampleur en raison de l’augmentation du télétravail dans un contexte de crise sanitaire.
Les entreprises françaises ont dû faire face aux risques en augmentant la part de dépense informatique allouée à la cyber-sécurité. La part du budget informatique consacrée à la cyber-sécurité en France, en 2020, s’élevait à 13%. Elle représente aujourd’hui 20% du budget. A contrario, la souscription d’une garantie des cyber-risques auprès d’un assureur, progresse seulement de 1 point, passant de 26% à 27%. Gareth Wharton, chef de direction cyber pour l’assurance Hiscox : « Au début de la pandémie, la poursuite de l’activité était la priorité numéro 1 pour la majorité des entreprises. En raison du resserrement des budgets informatiques, on craignait que les dépenses de cyber-sécurité ne s’en trouvent réduites. Notre rapport montre qu’il n’en a pas été ainsi. Les dépenses liées à cyber-sécurité ont augmenté ». Sur la scène européenne, l’Espagne est le pays qui consacre la plus grande part de budget à la cyber-sécurité. Les entreprises espagnoles y affectent 22% de leurs dépenses informatiques. Elles sont aussi les plus nombreuses à avoir été victimes d’une attaque cette année (53%).
Les technologies, médias et télécommunications (TMT), les services financiers et les secteurs de l’énergie ont constitué les cibles privilégiées des pirates. Le nombre d’entreprises touchées dans ces secteurs, entre 40% et 44% l’an passé, se situe désormais autour de 55%. Plus d’un quart des entreprises victimes de cyber-attaques ont été ciblées plus de cinq fois au cours de l’année passée. Près de 47% des très grandes entreprises attaquées ont dû lutter contre des pirates six fois ou plus. Un tiers d’entre elles ont subi plus de 25 attaques. Les entreprises françaises et allemandes représentent 22% des entreprises qui ont fait face à plus de 25 attaques.
Une guerre déclarée
Le 16 avril, le sujet de la lutte contre la cybercriminalité et notamment du rôle des assurances dans cette évolution était discuté lors d’une audition au Sénat. Les personnes entendues par les parlementaires ont plus particulièrement pointé le rançongiciel. Un logiciel d’extorsion qui consiste à prendre en otage des données personnelles. En contrepartie de ces données, les victimes doivent payer une rançon. « Près d’un sixième des entreprises victimes d’une attaque ont reçu une demande de rançon et plus de la moitié l’ont versée. Les emails de phishing ont constitué le principal point de départ », précise le rapport d’Hiscox. L’Allemagne est le pays d’Europe qui a versé le plus de rançon, l’équivalent de 21% des attaques se sont conclus par un versement.
À l’occasion de cette audition au Sénat, Johanna Brousse qui dirige la section « cybercriminalité » du parquet de Paris, a pointé du doigt le nombre trop élevé de rançon payé par les victimes françaises. En effet, le fait de payer les demandes de rançon pénalise le reste des acteurs économiques en satisfaisant la demande des pirates. Dans cette lutte contre les cyber-attaques, les assureurs ont toutefois leurs parts de responsabilité. Certains assureurs tenteraient de pousser les assurés à payer les rançons réclamées et garantiraient les paiements selon Guillaume Poupard, directeur de l’Anssi. Assureurs et victimes doivent parfois arbitrer entre le coût de la rançon et celui du préjudice provoqué par la perte de donnée.
