Les mutations technologiques n'apportent pas que des bienfaits. De nouveaux risques apparaissent également. Selon l'étude "The Global State of Information Security Survey 2016" réalisée par le cabinet d'audit et de conseil PwC, le nombre de cyberattaques a progressé à hauteur de 51% en 2015 en France. Une progression également constatée par l'Agence nationale de sécurité des systèmes d'information (ANSSI). Sur la même période, les budgets de sécurité des entreprises françaises ont augmenté en moyenne de 29%, soit autant que les pertes financières estimées imputables à ces incidents (+28%). A noter, au niveau mondial, le nombre de cyberattaques recensées a progressé de 38% en 2015, soit 13 points de moins qu'en France. Dans ce contexte, comment agissent et réagissent les entreprises tricolores ?
Selon une étude réalisée par l'institut MRCC pour Denjean & Associés, en partenariat avec Gan Assurances, seuls 38% des décideurs considèrent comme "important ou très important" le risque que leur société subisse une cyberattaque ces prochaines années... et ce, alors que 52% des entreprises ont déjà été piratées !
"Seuls les décideurs de grandes entreprises apparaissent conscients de la réalité de ce phénomène. A l'autre bout du spectre, les dirigeants de TPE et de PME sous-estiment fortement les risques liés à la cyber-sécurité", observe Thierry Denjean, le président de Denjean & Associés.
Comment expliquer cette erreur d'appréciation ? Mal ou peu informés, les décideurs d'entreprise se font de fausses idées sur la cyberfraude. Précisément, 77% d'entre eux sous-estiment la vitesse de propagation de ce fléau dans l'Hexagone, considérant que le nombre des cyberfraudes recensées en France n'a augmenté que de 10% ou de 25% en 2015.
Les PME ne sont pas conscientes d'être les principales cibles des pirates
La moitié des décideurs interrogés pensent que ce sont d'abord les multinationales qui sont dans le viseur des pirates. Pour 23% d'entre eux, ce sont les organismes publics. Pourtant, comme le révèle le Syntec (le syndicat des entreprises du numérique cité par l'étude), les PME concentrent dans notre pays près de 80% des cyber-attaques.
A la question "Les entreprises sont-elles bien protégées contre ces nouveaux risques?", les sondés répondent oui à 70%. Ce pourcentage varie selon la taille des entreprises : 100% des grands groupes affichent leur confiance dans leurs process de cybersécurité, tandis que 58% des TPE et environ 75% des PME et des ETI, très optimistes sur la question, se jugent bien protégées.
"Nous avons constaté à quel point les PME, et dans une moindre mesure les ETI, sous-estiment les risques de piratage qu'elles encourent. On peut donc avancer qu'une part significative des structures qui se jugent prêtes à contrer une attaque sont, en réalité, vulnérables....", constate Thierry Denjean.
Trois bonnes pratiques
Autre enseignement de cette étude, les entreprises ayant adopté une politique de cybersécurité se sont concentrées sur trois bonnes pratiques : le changement régulier des codes d'accès au réseau de l'entreprise, une mesure existant dans 56% des structures, l'instauration en son sein d'une procédure d'authentification de tous les ordinateurs et commutateurs (53% des entreprises), et enfin, la formation interne aux enjeux et aux précautions de base en matière de cybersécurité, et la création de différents degrés d'accès au réseau pour les collaborateurs selon leur niveau hiérarchique, respectivement pratiquées par 45% et 44% des sociétés.
Une prise de conscience et des efforts supplémentaires
Ayant pris conscience de ces nouvelles menaces, de nouvelles mesures de cybersécurité pourraient être adoptées cette année. En effet, 67% des entreprises interrogées comptent adopter en 2017 de nouvelles mesures. Parmi elles, 21% ont décidé de former pour la première fois leurs salariés aux enjeux et aux règles de base de la cybersécurité. Elles seront 20% à se mettre à changer régulièrement les codes d'accès à leur réseau ; 19% instaureront une procédure d'authentification de leurs clients ou utilisateurs ; 17% créeront différents degrés d'habilitation d'accès au réseau pour leurs collaborateurs, en fonction des niveaux hiérarchiques ; 16% encrypteront leur base de données ; 15% se doteront d'une procédure d'authentification de tous les ordinateurs et commutateurs de leur réseau ;13% souscriront leur premier contrat d'assurance contre le risque de cyberfraude ; et 11% nommeront un responsable de la cyber-sécurité. En croisant différentes données, l'étude observe que 10% des sociétés n'ayant encore aucun outil de prévention fin 2016 comptent mettre en place une ou plusieurs mesures de cyber-sécurité en 2017.
"Si ces entreprises appliquent leur programme, la proportion des entreprises françaises disposant d'un arsenal plus ou moins étendu de lutte contre le piratage informatique passera de 75% actuellement à 85% fin 2017", se réjouit Thierry Denjean.
Un coût assez limité
Quel en serait le coût ? Si 90% des entreprises françaises sont disposées à investir chaque année pour se protéger efficacement contre la cyber-fraude, 60% sont même prêtes à y consacrer un budget supérieur ou égal à 1% de leur chiffre d'affaires. Parmi les différentes catégories d'entreprises, les PME et les ETI se montrent les plus enclines à réaliser un effort financier conséquent. Ainsi, les trois-quarts d'entre elles acceptent de dépenser chaque année pour leur cybersécurité entre 1% et 2% de leur chiffre d'affaires.
"Si l'on exclut les dirigeants de très petites structures, peu ou pas du tout concernés par ces sujets, les décideurs apparaissent bien conscients des nouveaux risques encourus par les entreprises, et décidés à les combattre", souligne Thierry Denjean.
En effet, 66% des décisionnaires indiquent qu'ils se préoccuperont au cours des trois années à venir de lutter contre les ransomwares. Petit rappel, un ransomware ou rançongiciel est un logiciel malveillant qui prend en otage des données personnelles. Concrètement, il chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Enfin, ils sont 70% à déclarer qu'ils s'attacheront à sécuriser les données mises sur le cloud et 70% déclarent qu'ils veilleront à prévenir les risques liés aux objets connectés.
___
POUR ALLER PLUS LOIN
"The Global State of Information Security Survey 2016", PwC
