LES CYBERATTAQUES
UN RISQUE GRAVE TROP SOUS-ESTIMÉ
Une étude réalisée par le cabinet Denjean & Associés fait le point sur les risques encourus par les entreprises. En France, à l'exception des grands groupes, les entreprises sous-estiment les risques de cyberattaques et l'ampleur de la cyberfraude.
Les mutations technologiques n'apportent pas que des bienfaits. De nouveaux risques apparaissent également. Selon l'étude The Global State of Information Security Survey 2016 réalisée par le cabinet d'audit et de conseil PwC, le nombre de cyberattaques a progressé à hauteur de 51% en 2015 en France. Une progression également constatée par l'Agence nationale de sécurité des systèmes d'information (ANSSI). Sur la même période, les budgets de sécurité des entreprises françaises ont augmenté en moyenne de 29%, soit autant que les pertes financières estimées imputables à ces incidents (+28%). À noter, au niveau mondial, le nombre de cyberattaques recensées a progressé de 38% en 2015, soit 13 points de moins qu'en France. Dans ce contexte, comment agissent et réagissent les entreprises tricolores? Selon une étude réalisée par l'institut MRCC pour Denjean & Associés, en partenariat avec Gan Assurances, seuls 38% des décideurs considèrent comme « important ou très important » le risque que leur société subisse une cyberattaque ces prochaines années... et ce, alors que 52% des entreprises ont déjà été piratées!
LES TPE MAJORITAIREMENT ATTAQUÉES
« Seuls les décideurs de grandes entreprises apparaissent conscients de la réalité de ce phénomène. À l'autre bout du spectre, les dirigeants de TPE et de PME sous-estiment fortement les risques liés à la cybersécurité », observe Thierry Denjean, le président de Denjean & Associés. Comment expliquer cette erreur d'appréciation ? Mal ou peu informés, les décideurs d'entreprises se font de fausses idées sur la cyberfraude. Précisément, 77% d'entre eux sous-estiment la vitesse de propagation de ce fléau dans l'Hexagone, considérant que le nombre des cyberfraudes recensées en France n'a augmenté que de 10% ou de 25% en 2015. La moitié des décideurs interrogés pensent que ce sont d'abord les multinationales qui sont dans le viseur des pirates. Pour 23% d'entre eux, ce sont les organismes publics. Pourtant, comme le révèle le Syntec (le syndicat des entreprises du numérique cité par l'étude), les PME concentrent dans notre pays près de 80% des cyberattaques. À la question « Les entreprises sont-elles bien protégées contre ces nouveaux risques? » , les sondés répondent oui à 70%. Ce pourcentage varie selon la taille des entreprises : 100% des grands groupes affichent leur confiance dans leurs process de cybersécurité, tandis que 58% des TPE et environ 75% des PME et des ETI, très optimistes sur la question, se jugent bien protégées. « Nous avons constaté à quel point les PME, et dans une moindre mesure les ETI, sous-estiment les risques de piratage qu'elles encourent. On peut donc avancer qu'une part significative des structures qui se jugent prêtes à contrer une attaque sont, en réalité, vulnérables... », constate Thierry Denjean.
DES ENTREPRISES PRÊTES À INVESTIR
Autre enseignement de cette étude, les entreprises ayant adopté une politique de cybersécurité se sont concentrées sur trois bonnes pratiques : le changement régulier des codes d'accès au réseau de l'entreprise, une mesure existant dans 56% des structures; l'instauration en son sein d'une procédure d'authentification de tous les ordinateurs et commutateurs (53% des entreprises); et enfin, la formation interne aux enjeux et aux précautions de base en matière de cybersécurité, et la création de différents degrés d'accès au réseau pour les collaborateurs selon leur niveau hiérarchique, respectivement pratiquées par 45% et 44% des sociétés. Ayant pris conscience des nouvelles menaces, des mesures inédites de cybersécurité pourraient être adoptées cette année. En effet, 67% des entreprises interrogées se disent prêtes à renforcer leur cybersécurité en 2017. Parmi elles, 21% ont décidé de former pour la première fois leurs salariés aux enjeux et aux règles de base de la cybersécurité. Elles seront 20% à se mettre à changer régulièrement les codes d'accès à leur réseau; 19% instaureront une procédure d'authentification de leurs clients ou utilisateurs; 17% créeront différents degrés d'habilitation d'accès au réseau pour leurs collaborateurs, en fonction des niveaux hiérarchiques; 16% encrypteront leur base de données; 15% se doteront d'une procédure d'authentification de tous les ordinateurs et commutateurs de leur réseau; 13% souscriront leur premier contrat d'assurance contre le risque de cyberfraude; et 11% nommeront un responsable de la cybersécurité. En croisant différentes données, l'étude observe que 10% des sociétés n'ayant encore aucun outil de prévention à la fin de 2016 comptent mettre en place une ou plusieurs mesures de cybersécurité en 2017. « Si ces entreprises appliquent leur programme, la proportion des entreprises françaises disposant d'un arsenal plus ou moins étendu de lutte contre le piratage informatique passera de 75% actuellement à 85% à la fin de 2017 », se réjouit Thierry Denjean. Quel en serait le coût? Si 90% des entreprises françaises sont disposées à investir chaque année pour se protéger efficacement contre la cyberfraude, 60% sont même prêtes à y consacrer un budget supérieur ou égal à 1 % de leur chiffre d'affaires. Parmi les différentes catégories d'entreprises, les PME et les ETI se montrent les plus enclines à réaliser un effort financier conséquent. Ainsi, les trois quarts d'entre elles acceptent d’allouer chaque année entre 1 % et 2 % de leur chiffre d’affaires à leur cybersécurité. « Si l'on exclut les dirigeants de très petites structures, peu ou pas du tout concernés par ces sujets, les décideurs apparaissent bien conscients des nouveaux risques encourus par les entreprises, et décidés à les combattre », souligne Thierry Denjean. En effet, 66% des décisionnaires indiquent qu'ils se préoccuperont au cours des trois prochaines années de lutter contre les logiciels de rançon ( ransomwares). Petit rappel, un rançongiciel est un logiciel malveillant qui prend en otage des données personnelles. Concrètement, il chiffre des données personnelles, puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Enfin, ils sont 70% à déclarer qu'ils s'attacheront à sécuriser les données mises sur le cloud et 70% déclarent qu'ils veilleront à prévenir les risques liés aux objets connectés.
Nous avons constaté à quel point les PME et les ETI sous-estiment les risques de piratage qu’elles encourent