Cultiver la cyber-résilience
La Tribune Partenaire

Photo d'illustration
DR
PROPOSÉ PAR
La Tribune Now - Actualités et analyses
Touchée, coulée ? L'hypothèse de la faillite d'une entreprise, dans le sillage d'une attaque cyber, peut paraître extrême. Et pourtant. C'est ce qui est arrivé à une PME spécialisée dans les logiciels de gestion pour les commerçants. En août 2024, une attaque cyber paralyse les services de trésorerie de ses clients pendant de longues semaines. « On ne s'en est jamais relevé », confiait le directeur général dans la presse après la liquidation de l'entreprise, en mars 2025. Ce cas n'est pas unique... Les cyber-attaques se multiplient ces derniers temps et leurs impacts sont de plus en plus massifs.
« Sans aller jusqu'à la faillite, lors d'une attaque, des données peuvent être dérobées et utilisées à mauvais escient, des activités, financières ou autres, complètement désorganisées, et des usines mises à l'arrêt. Autant d'évènements qui peuvent coûter très cher à l'entreprise, d'un point de vue financier mais aussi réputationnel ou réglementaire », souligne Ayman Qasbaoui, Head of Cyber Resilience pour Zurich Resilience Solutions France. Sur ce dernier aspect, depuis 2025, la réglementation européenne, par le biais des directives DORA (pour Digital Operational Resilience Act) et NIS 2 (Network and Information Security), exige de la part des entreprises qu'elles protègent les données sensibles, préviennent les interruptions de service et réduisent les risques systémiques. NIS 2 est en outre assorti d'amendes (forfaitaires et jusqu'à 10 millions d'euros ou calculées en pourcentage du chiffre d'affaires) en cas d'entorses à ce règlement. Enfin, « une cyber-attaque peut ternir une réputation, puisqu'elle montre que l'entreprise est vulnérable alors qu'elle doit être digne de confiance pour ses clients », poursuit-il.
Face à ces dangers potentiels, Zurich France propose évidemment des contrats de couverture. Mais « mieux vaut prévenir les attaques que de laisser le client en subir les conséquences. En France, nous estimons à 80 % la part des ETI non assurées contre les risques cyber. Notre ambition est d'accompagner les entreprises afin de leur permettre d'accéder à la couverture cyber, à travers nos solutions de prévention sur mesure, et ainsi de maîtriser les impacts éventuels d'une attaque », ajoute Ayman Qasbaoui. Cela vaut autant pour l'assureur que pour l'assuré...
Au-delà de la sensibilisation qu'effectuent les experts de la branche conseil de Zurich Resilience Solutions auprès des professionnels en interne et des comités exécutifs, les clients - qu'il s'agisse de grandes entreprises ou de petites et moyennes structures, vers lesquelles l'assureur suisse souhaite davantage se tourner - sont incités à prendre des mesures de sécurité et de cyber-résilience.
Par ailleurs, Zurich Resilience Solutions propose de quantifier les impacts potentiels des cyber-attaques et les montants financiers en jeu. « En 'valorisant' financièrement les risques et en indiquant en parallèle le prix des solutions à mettre en œuvre, nous fournissons des arguments aux professionnels en interne pour convaincre la direction de l'entreprise du bienfondé des investissements à consentir et de leur hiérarchisation. En effet, les risques cyber peuvent avoir des impacts variables, du plus faible ou plus sérieux », indique Ayman Qasbaoui. Pour illustrer, dans le cas d'un groupe international opérant dans le milieu financier, la mise en place d'un Security Operations Center (SOC) pourra représenter un investissement de 50 000 euros, mais permettra de détecter rapidement les attaques en les identifiant au plus tôt et en y répondant efficacement. Et si le montant des pertes potentielles passe ainsi de 10 millions d'euros à 2 millions d'euros seulement, l'investissement est clairement rentable. « La quantification est vraiment un levier stratégique pour les entreprises, petites et grandes, d'autant que les menaces cyber évoluent constamment », résume Ayman Qasbaoui.
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Enfin, si certains concurrents utilisent des données publiques pour évaluer financièrement les risques cyber, le groupe Zurich s'appuie, quant à lui, sur des données de terrain, provenant directement des sinistres rencontrés par ses clients. « Cette spécificité dans notre approche nous permet d'avoir une évaluation très fine et très concrète des risques », explique l'expert en résilience cyber.
Les entreprises sont confrontées à de nombreux risques (commerciaux, géopolitiques...), mais de la même façon que Zurich France protège ses clients des effets du dérèglement climatique sur leurs activités, l'assureur suisse les encourage également à cultiver leur cyber-résilience : le danger cyber est peut-être plus difficile à appréhender qu'une tornade ou une sécheresse, mais il peut se révéler tout aussi dévastateur.
La Tribune Partenaire