En 2024, plus d’une entreprise française sur deux a été la cible d’une cyberattaque. Et parmi ces attaques, le ransomware reste la plus redoutée : un logiciel malveillant chiffre tout ou partie du système informatique, rendant les données inaccessibles, jusqu’au paiement d’une rançon. D’après l’ANSSI, le nombre de cas signalés a encore augmenté de 30 % sur un an, avec un impact financier moyen de plusieurs centaines de milliers d’euros par incident, sans compter les pertes d’exploitation et les atteintes à l’image.
Ces attaques ne concernent plus uniquement les grands groupes. TPE, PME, ETI et collectivités locales sont devenues les premières cibles, en raison de systèmes souvent moins bien protégés. Les cybercriminels utilisent des méthodes automatisées pour infiltrer les réseaux, sans distinction de taille ou de secteur.
Face à ce risque massif, les entreprises s’imaginent protégées par leurs contrats d’assurance classiques (dommages aux biens, responsabilité civile professionnelle…), mais la réalité est bien différente. Ces contrats excluent le plus souvent les sinistres liés à la cybercriminalité, ou les couvrent très partiellement. Sont fréquemment exclues :
- les attaques survenues avant la date de souscription du contrat,
- les intrusions facilitées par l’absence de dispositifs de sécurité basiques (sauvegardes, MFA, pare-feu…),
- les erreurs ou négligences internes,
- les actes de guerre numérique ou les attaques imputées à des États.
Autrement dit, même assurée, une entreprise peut ne recevoir aucune indemnisation si elle n’a pas pris certaines précautions en amont.
Dans ce contexte, il est essentiel de sortir d’une logique passive d’assurance pour entrer dans une démarche active de gestion du risque cyber. Cela implique :
- une évaluation régulière du niveau de sécurité,
- une sensibilisation des équipes,
- la mise en place de mesures de protection élémentaires,
- et le recours à des garanties spécifiques, conçues pour répondre aux menaces numériques actuelles.
Le risque cyber n’est plus une menace théorique. C’est une réalité quotidienne pour de nombreuses structures, y compris les plus modestes. Anticiper, c’est désormais un impératif pour assurer la résilience et la continuité d’activité face à un danger qui, en matière de fréquence et de gravité, dépasse désormais nombre de risques industriels traditionnels.
