Dans le monde entier, les attaques informatiques se multiplient. Mais dans l’Hexagone, ce fléau explose : en 2015, le nombre des cyberattaques a augmenté de 50 %. Les entreprises françaises sont-elles conscientes des risques qu’elles courent ? De quelles mesures de protection disposent-elles à l’heure actuelle ? Quelle est leur stratégie pour les mois à venir ? Denjean & Associés, société d’expertise comptable, d’audit et de conseil, en partenariat avec Gan Assurances a jugé intéressant de sonder les entreprises sur ces thématiques et a confié cette mission à l’institut MRCC. L’enquête s’est déroulée en ligne, du 7 au 10 novembre 2016. 200 décideurs d’entreprises en charge de la stratégie informatique ont répondu à l’intégralité des questions.
ENSEIGNEMENTS CLÉS DE L’ENQUÊTE
52 % des entreprises ont déjà subi une ou plusieurs tentatives d’attaques visant leur réseau informatique et 93 % des entreprises ayant déjà vécu des cyberattaques ont pâti de ces agressions
Il est malheureusement exceptionnel qu’une entreprise victime d’un piratage informatique s’en sorte sans dommage.
Dans 93 % des cas, la société “hackée” subit un ou plusieurs préjudices : arrêt total de son système informatique, vol de données (de l’entreprise / de ses clients / de ses fournisseurs), chantage… Concernant ce dernier point, il est impressionnant de constater que 17 % des entreprises piratées ont déjà été victimes d’un “ransomware“ (logiciel qui bloque la machine qu’il a infectée et qui exige le paiement d’une rançon pour rendre à l’utilisateur le contrôle de sa machine) !
A l’exception des grands groupes, toutes les entreprises sous-estiment les risques de cyberattaque
38 % seulement des décideurs considèrent comme “important“, ou “très important“, le risque que leur société subisse une cyberattaque ces prochaines années, et ce, alors que 52 % des entreprises ont déjà été piratées ! Seuls les décideurs de grandes entreprises apparaissent conscients de la réalité de ce phénomène. A l’autre bout du spectre, les dirigeants de TPE et de PME sous-estiment fortement les risques liés à la cybersécurité. Comme nous allons
le voir, cette erreur d’appréciation est notamment due à une méconnaissance de l’ampleur et des cibles de la cyberfraude dans notre pays…
Une méconnaissance de l’ampleur et des cibles du piratage informatique en France
Dans l’ensemble, les décisionnaires d’entreprise se font de fausses idées sur la cyberfraude. En effet, 77 % d’entre eux sous-estiment la vitesse de propagation de ce fléau dans l’Hexagone, pensant que le nombre des cyberfraudes recensées en France n’a augmenté “que” de 10 % ou de 25 % l’an dernier, alors qu’il a crû de 50 %… Par ailleurs, questionnés sur les cibles visées en priorité par les cyberfraudeurs, 50 % des décideurs citent les multinationales. Tandis que pour 23 % des répondants, les organismes publics constituent le premier choix des hackers.
Seulement 28 % des personnes interrogées connaissent la bonne réponse : ce sont les PME qui concentrent dans notre pays l’immense majorité (environ 80 %) des cyberattaques. Les pirates informatiques s’en prennent aux petites structures parce qu’ils savent que beaucoup d’entre elles ont de gros défauts dans la cuirasse qu’il leur sera facile d’exploiter.
58 % des TPE, environ 75 % des PME et des ETI, et 100 % des grands groupes se jugent bien protégés contre la cyberfraude
Globalement, 70 % des entreprises s’estiment bien protégées contre la cyberfraude. Une statistique qui recouvre des disparités : 100 % des grands groupes affichent leur confiance dans leurs process de cybersécurité, tandis que 58 % des TPE et environ 75 % des PME et des ETI se jugent bien protégées.
Mais de l’avis de Thierry Denjean, les entreprises françaises pèchent par excès d’optimisme : “Nous avons constaté à quel point les PME, et dans une moindre mesure les ETI, sous-estiment les risques de piratage qu’elles encourent. On peut donc avancer qu’une part significative des structures qui se jugent prêtes à contrer une attaque sont, en réalité, vulnérables…”
75 % des sociétés disposent aujourd’hui de process de cybersécurité
Fin 2016, près d’une TPE française sur deux n’avait instauré aucune mesure pour diminuer les risques de piratage informatique. A l’inverse, plus de 80 % des PME et des ETI (et, sans surprise, 100 % des grands groupes) disposent de process de cybersécurité.
Changement régulier des codes d’accès au réseau, procédure d’authentification de tous les ordinateurs et commutateurs : les deux mesures de cybersécurité les plus répandues
A cette même période, les entreprises ayant adopté une politique de cybersécurité ont mis en place, en moyenne, trois mesures. Les plus répandues sont le changement régulier par l’entreprise des codes d’accès à son réseau (mesure existant dans 56 % des structures) et l’instauration en son sein d’une procédure d’authentification de tous les ordinateurs et commutateurs (en oeuvre dans 53 % des entreprises).
La formation interne aux enjeux et aux précautions de base en matière de cybersécurité, et la création de différents degrés d’accès au réseau pour les collaborateurs selon leur niveau hiérarchique (respectivement pratiquées par 45 % et 44 % des sociétés) se disputent la troisième place sur le podium.
Autres mesures-clés, adoptées par environ 40 % des entreprises : l’encryptage de la base de données, la nomination d’un responsable de la cybersécurité en interne et l’instauration d’une procédure d’authentification pour les clients ou utilisateurs. Notons enfin que 23 % des sociétés ont souscrit une assurance contre le risque de cyberfraude.
Seulement 17 % des entreprises qui ont mis en place une stratégie de lutte contre la cyberfraude ont trouvé toutes les ressources nécessaires en interne. L’immense majorité (83 %) a fait appel à un ou deux prestataires externes. Structures expertes en cyberdéfense, SSII, sociétés d’expertise comptable et de conseil (15 %) apparaissent comme les prestataires les plus sollicités.
En 2017, les deux-tiers des entreprises adopteront de nouvelles mesures de cybersécurité
Au total, 67 % des entreprises comptent adopter en 2017 de nouvelles mesures pour lutter contre le piratage informatique.
Par ailleurs, une question ouverte posée aux sociétés ne prévoyant aucune nouvelle mesure de cybersécurité en 2017 nous a permis de voir que celles-ci se répartissent en 3 catégories :
1. des sociétés qui s’estiment déjà dotées d’un arsenal de cybersécurité suffisant pour leur assurer une bonne protection ;
2. des entreprises qui aimeraient prendre de nouvelles mesures de cybersécurité l’an prochain mais qui n’en ont pas les moyens ;
3. des structures se jugeant peu ou pas du tout exposées au risque de cyberattaque, qui ne voient pas l’intérêt pour elles de prendre des mesures de cybersécurité et qui n’en prendront pas plus en 2017 qu’elles ne l’ont fait jusqu’à présent.
Enfin, en croisant différentes données, on observe que 10 % des sociétés qui n’avaient encore aucun outil de prévention fin 2016 comptaient mettre en place une ou plusieurs mesures de cybersécurité en 2017. Si ces entreprises appliquent leur programme, la proportion des entreprises françaises disposant d’un arsenal plus ou moins étendu de lutte contre le piratage informatique passera de 75 % actuellement à 85 % fin 2017.
60 % des entreprises sont prêtes à consacrer à la lutte contre la cyberfraude un budget annuel supérieur ou égal à 1 % de leur chiffre d’affaires
Bonne nouvelle : 90 % des entreprises françaises sont disposées à investir chaque année pour se protéger efficacement contre la cyberfraude, et 60 % sont même prêtes à y consacrer un budget supérieur ou égal à 1 % de leur chiffre d’affaires. Parmi les différentes catégories d’entreprises, les PME et les ETI se montrent les plus enclines à réaliser un effort financier conséquent : les trois-quarts d’entre elles acceptent de dépenser chaque année pour leur cybersécurité entre 1 % et 2 % de leur chiffre d’affaires.
Les trois premières réactions des décideurs en cas de cyberattaque : convoquer une cellule de crise interne, contacter leur prestataire informatique, appeler la police
A la question “quelles seraient vos 3 premières réactions si vous étiez victime d’une cyberattaque” les décideurs ont répondu :
Lors de l’infection, un message est adressé à la victime, lui indiquant la rançon à régler et le délai limite de l’exécution, avec la menace que la somme augmente de façon exponentielle après son expiration.
Dans les faits, quel est le premier réflexe que doivent avoir des dirigeants d’entreprise face à une cyberattaque ?
“Effectuer un constat technique” indique la Police nationale, dans un document intitulé “Réagir à une attaque informatique :
10 préconisations”. A cet effet, la Police Nationale recommande aux décideurs l’une ou l’autre des démarches suivantes, selon leur préférence : contacter le service de police ou de gendarmerie le plus proche pour faire intervenir un expert en cybercriminalité ; ou procéder eux-mêmes au constat technique (ce qui suppose que l’entreprise soit dotée d’un service informatique) ; ou faire réaliser ce constat par un prestataire informatique externe.
Indemnisation des pertes financières, prise en charge des frais de reconstitution/ressaisie des données, assistance juridique, prise en charge des frais d’un expert en sécurité informatique : quatre garanties assurantielles jugées utiles
Les garanties ci-après, proposées par certains assureurs, sont notées de 0 à 10 selon leur utilité en cas de cyberattaque
Des décideurs d’entreprise conscients des nouveaux risques et prêts à agir !
Si l’on exclut les dirigeants de très petites structures, peu ou pas du tout concernés par ces sujets, les décideurs apparaissent bien conscients des nouveaux risques encourus par les entreprises, et décidés à les combattre. En effet, 66 % des décisionnaires indiquent qu’ils se préoccuperont au cours des trois années à venir de lutter contre les “ransomwares” ; 70 % disent qu’ils s’attacheront à sécuriser les données mises sur le “cloud” ; et 70 % déclarent qu’ils veilleront à prévenir les risques liés aux objets connectés… Et si, au-delà des grandes entreprises, les ETI et même les PME françaises étaient en train de s’ouvrir aux réalités des cyberrisques ?
