Les cyberattaques tendent à se multiplier et à toucher de plus en plus de domaines. Seulement, les entreprises ne semblent pas, d’après l’étude du cabinet de PWC, prendre ce risque au sérieux.
Les entreprises seraient-elles dans le déni ? Pour le cabinet PWC, la réponse ne ferait aucun doute. Les entrepreneurs ne prendraient pas assez au sérieux le risque de cyberattaque de leur structure. En partenariat avec l’institut Ipsos, le cabinet d’audit a mené une enquête auprès de 600 entreprises pour juger de leur stratégie de défense face aux cyberattaques. Et le moins que l’on puisse dire, c’est que les résultats de cette enquête ne sont pas des plus optimistes.
Seulement 3 entreprises sur 10 considèrent la cybersécurité comme prioritaire
Ces dernières années, les cyberattaques se sont multipliées. Elles touchent tous les secteurs, aussi bien les particuliers que les entreprises ou encore la politique. Régulièrement, divers groupes sont accusés d’avoir trafiquer les résultats des élections en ayant eu recours à des attaques numériques.
Le rapport « Economic Impact of Cybercrime » publié par McAffee et CSIS montre qu’en 2017, les cyberattaques ont coûté plus de 600 milliards de dollars à l’économie mondiale. Pour autant, si la cybersécurité est de plus en plus prise en compte par les entreprise, le cabinet PWC constate que la France reste encore largement en retrait et les entreprises ne sont que partiellement protégées.
En somme, seulement 29% des entreprises interrogées perçoivent la cybersécurité comme un enjeu prioritaire. L’explication : pour le cabinet PWC, seuls 32% des collaborateurs et des dirigeants estimeraient comme « important » le risque d’une cyberattaque dans leur entreprise. Par ailleurs, on constate que ce taux augmente à mesure que la taille de la structure augmente.
Et quand on demande aux entrepreneurs s’ils se considèrent capables de gérer une attaque cybernétique, seul 20% affirment pouvoir lutter efficacement. Pour Rami Feghali, associé chez le cabinet PWC, il existe un vrai déni chez les entrepreneurs quant au risque d’une cyberattaque. Et lorsqu’ils en prennent conscience, il est déjà trop tard.
Pour une majorité des entreprises françaises, la perception du risque Cyber est très éloignée de la réalité de la menace. De manière générale et c’est une constante dans l’histoire de la gestion des risques, tant que les entreprises n’ont pas été durement touchées, elles sont plutôt dans la sous-estimation voire le déni du risque. Conséquences : la dynamique des entreprises est curative au lieu d’être préventive. Lorsqu’on mesure et analyse les dégâts causés par une cyberattaque pour améliorer sa défense, il est déjà trop tard. Agir de la sorte, c’est accepter de laisser l’avantage aux attaquants.
Rami Feghali, associé chez PwC
Des protections encore insuffisantes
Pour autant, plus des 3 entreprises sur quatre déclarent avoir pris au moins l’une des mesures suivantes pour faire face au risque de cyberattaque : investir dans des outils et solutions digitales permettant d’assurer un haut niveau de sécurité contre les cyberattaques, recruter une ou plusieurs personnes dédiées à la cybersécurité, élaborer une stratégie de défense ou encore prendre une assurance couvrant le risque de cyberattaques et ses dommages. Cependant, seulement 18% ont pris toutes ces mesures qui seraient, pour le cabinet PWC, les piliers d’une défense efficace.
Pour contrer les cyberattaques qui sont chaque année plus nombreuses, il est nécessaire de nous en donner les moyens aussi bien en terme d’investissements réalisés que de développement des nouvelles technologies, de recrutement et de formation des hommes. La cybersécurité n’est pas qu’une histoire de protection de systèmes informatiques. Il est nécessaire d’avoir une vision globale du risque pour en saisir tous les enjeux réels.
Philippe Trouchaud, associé responsable du pôle Cyber Intelligence chez PwC
Le risque zéro n’existe pas, les menaces évoluent, la connectivité augmente et le coût d’une protection absolue est souvent prohibitif, il est dès lors indispensable pour les entreprises d’évaluer les risques cyber et de déterminer leur appétit à ce risque. Le cyber risk est comme les autres risques opérationnels, ce n’est pas qu’un sujet technologique. Une coopération interne entre les différents services est nécessaire pour détecter des failles, implémenter des contrôles, évaluer les niveaux de risque, mettre en place une gouvernance et gérer les risques dits opérationnels.
Rami Feghali, associé chez PwC
95% des entreprises ne comptent pas non plus engager une personne spécialement dédiée à la cybersécurité dans les 12 prochains moins, preuve que le risque de cyberattaque n’est pas des plus pris au sérieux.
Cependant, 7 entreprises sur 10 sont au courant des offres de cyberassurance qu’il existe sur le marché. En somme, d’après l’étude, les entreprises préfèreraient bénéficier des entreprises à la suite d’une attaque plutôt que d’anticiper et prévenir ces dernières. Un choix comme un autre…