BFM Business

39% des entreprises européennes admettent avoir subi une cyber-attaque

-

- - Philippe Huguen - AFP

L'équation est connue: la prise de conscience du risque est réelle mais les moyens de protection mis en place restent parcellaires. Et le coût des attaques ne cesse d'augmenter.

Fut un temps où les entreprises, notamment les plus grandes, cachaient sous le tapis les attaques informatiques qu'elles essuyaient. Une manière de ne pas afficher la faiblesse de son infrastructure face aux concurrents et au marché. 

Avec la digitalisation des entreprises et l'essor du cloud computing, l'exposition de ces équipements s'est encore accrue, alors mêmes que les attaques sont toujours plus ciblées et sophistiquées, avec l'ambition de maximiser leur impact sur le monde réel (coupures de courant, de distribution d’eau…).

On se souviendra longtemps de l’épisode Saint-Gobain qui avait dû arrêter ses systèmes et donc sa production en 2017 à la suite d'une attaque qui lui a finalement coûté 80 millions d’euros et plus récemment des attaques contre Fleury-Michon (production stoppée 5 jours), Pizzorno Environnement, Eurofins ou Airbus…

70% des entreprises se disent exposées

Impossible donc aujourd'hui de se voiler la face et de dissimuler les faits. Surtout que la loi, notamment le RGPD (règlement général pour la protection des données) oblige les entreprises à déclarer les incidents qui provoquent des fuites de données personnelles.

Et cela se ressent dans les chiffres déclaratifs. Une récente étude de RSM (réseau d'audit) en partenariat avec les European Business Awards auprès des instances de direction de 597 entreprises de 33 pays européens, montre ainsi que 39% des grandes entreprises européennes admettent avoir été victimes d'une cyber-attaque alors que dans 75% des cas, elle n'a pas été rendue publique.

Plus de 7 entreprises sur 10 estiment être exposées à un risque en matière de cyber-criminalité.

Si la prise de conscience est forte, les moyens de protection mis en place restent parcellaires. 65% des entreprises interrogées sont convaincues que la cyber-sécurité est un sujet qui doit être porté par les instances de direction mais 21% n'ont pas de réelle politique en la matière. 

En fait, cela ne devient une priorité au niveau de la direction, dans 54% des cas, qu'après une attaque, donc trop tard. Et 22% ne proposent pas de formations en lien avec ces enjeux à leurs équipes. Pourtant, 44% des attaques ciblent des employés par mail via des attaques de phishing, fraude au président et de ransomware.

Plus inquiétant, 29% pensent que les actions préventives mises en place ne leur permettront pas d’empêcher efficacement de futures cyber-attaques.

"Même si les entreprises ne peuvent se prémunir à 100% contre les risques de cyber-attaques, ne rien faire n'est pas une option. La première étape pour se prémunir consiste à comprendre qu'investir dans des outils et une technologie de sécurité ne permettra pas nécessairement d'éviter une attaque. Ensuite, la mise en place de programmes de formation et de sensibilisation des collaborateurs est une condition nécessaire pour permettre à l’entreprise de surveiller et de détecter les attaques pouvant peser sur sa réputation ou ses finances", commente Jean-Philippe Isemann, associé RSM et responsable du département IT & Risk advisory.

Un coût moyen par entreprise de 13 millions de dollars

Ces mesures sont d'autant plus stratégiques que le coût généré par ces cyber-attaques est en constante augmentation. 

Selon la dernière étude internationale d'Accenture Security et du Ponemon Institute (2.600 experts et 355 grandes entreprises réalisant plus de 20 milliards de dollars de revenus annuels), la moyenne est désormais de 13 millions de dollars par attaque, soit une augmentation de 27% sur un an. Ce coût additionne les sommes investies par les entreprises pour détecter les cyberattaques et les coûts pour réparer les dégâts.

C’est aux Etats-Unis que les entreprises touchées paient la facture la plus salée avec une moyenne de 27,4 millions de dollars (+29%), devant le Japon (13,6 millions) et l’Allemagne (13,1 millions). La France est 5e avec un coût moyen de 9,7 millions de dollars en augmentation de 23% en un an.

Et les PME ne sont évidemment pas épargnées. En France, selon une étude Ifop pour Kasperky (éditeur de logiciels) 21% d’entre elles ont été victimes d’une attaque l’an passé. Et là encore, les investissements ne suivent pas. Selon une étude d’Euler Hermes, seuls 19% des dirigeants de PME ont prévu des investissements dans la cybersécurité alors que c'est un sujet d'inquiétude pour 76% d'entre eux.

Rappelons qu'une bonne hygiène informatique (mots de passe solides, mises à jour fréquentes…) ne coûte rien. C'est déjà une première étape importante pour se protéger.

Olivier Chicheportiche