Si les grands groupes sont a priori bien préparés à une cyberattaque, il n’en va pas de même pour les entreprises de taille plus réduite. Faute de moyens et de temps, les entreprises de taille intermédiaire (ETI) et les PME sont souvent mal protégées, si bien qu’elles sont devenues une cible facile pour les cyberpirates. En témoignent Bessé, un cabinet de courtage en assurance pour les entreprises, et la filiale France et Afrique de PricewaterhouseCoopers (PwC). En effet, leur dernier rapport dénonce la vulnérabilité des entreprises face au risque cyber et montre comment développer des stratégies de cyber-résilience adaptées à leur taille. L’enquête s’est fondée sur la base d’un échantillon de 432 entreprises interrogées en France et de 50 témoignages de dirigeants d’ETI, présidents, directeurs généraux ou membres des Comités de Direction.
Les ETI privilégient le risque industriel
Pour les dirigeants d’ETI, la gestion des menaces concrètes reste la priorité, à l’instar du risque industriel qui accapare une bonne partie de leurs moyens. Or, Pierre Bessé, président de sa société éponyme, estime que « le risque cyber appartient à une nouvelle génération de risques qui peut affecter l’entreprise dans sa globalité, dont la complexité est extrême et les caractéristiques diamétralement opposées à celles du risque industriel. » Risque auquel ces entreprises ne semblent pas encore préparées… En outre, l’enquête fait état des trois critères principaux qui définissent le risque cyber en comparaison au risque industriel. Tout d’abord, contrairement au risque industriel qui prend sa source dans des accidents, le risque cyber se fonde sur une action principalement malveillante. Il est également « évolutif » : ses malwares mutent, solidifient leurs attaques, tandis que le risque industriel est « stable ». Résultat, il est impossible d’anticiper l’évolution des malwares et leurs conséquences. Enfin, si le risque industriel est « cantonné », c’est-à-dire qu’il ne concerne qu’une partie de l’entreprise, le risque cyber, lui, est « systémique » : un malware est capable de toucher une entreprise dans sa globalité, de saper ses fondements, et ce en une seule attaque.
Les ETI face au risque cyber
Si la menace semble avérée, les dirigeants d’ETI ne semblent pas en mesurer la gravité. Selon le rapport, 76% des sondés déclarent avoir subi au moins un incident de cybersécurité en 2017. Cependant, ils n’étaient pas en mesure de qualifier précisément la notion de risque cyber. « Les dirigeants d’ETI et de PME comprennent la cybermenace, néanmoins, ils ont encore du mal à traduire cette prise de conscience en actes. Elle doit être prise en compte au niveau stratégique et non se cantonner au niveau tactique comme c’est encore souvent le cas », explique Philippe Trouchaud, associé en charge de la cybersécurité chez PwC.
Gare au risque humain !
Même si les dirigeants ont déjà subi au moins une attaque, ils ne se sentent pas toujours directement exposés. Considérant, pour la majorité d’entre eux, les cyberattaques comme une menace essentiellement externe (cybercriminalité), ils méconnaissent leurs vulnérabilités internes. A tort, puisque le rapport montre que seuls 17% des incidents cyber sont imputables à des réseaux externes organisés. Tout le danger réside donc principalement dans des attaques qui proviennent d’employés actuels ou passés (les employés n’étant pas véritablement auteurs des attaques mais favorisant la propagation des malwares). Et ce pour 54% des ETI interrogées.
Les ETI, mal préparées en cas d’attaque
Parmi les seules actions mises en place pour se prémunir contre le risque cyber, les ETI et PME confient la gestion de la cybersécurité aux DSI et à leurs équipes d’informaticiens. Pourtant, 19% des dirigeants interrogés admettent ne pas avoir mis en oeuvre de stratégie de protection de l’information. 39% affirment même que leur entreprise n’a pas entamé de démarche de sensibilisation des collaborateurs en matière de cybersécurité. Une fois que les ETI et PME ont cerné le cyber risque, se pose alors la question des compétences et des talents pour les accompagner dans une démarche de prévention et de protection. « Au-delà des moyens financiers engagés, c’est sur l’humain que repose cet enjeu majeur pour les entreprises », souligne Philippe Trouchaud.
Vers une cyber-résilience
Le rapport évoque cependant des solutions, parmi lesquelles celle d’encourager le partage d’expérience et des bonnes pratiques entre les entreprises. Par exemple, en créant un cluster de cybersécurité dédié aux ETI. Pour Pierre Bessé « il est indispensable d’innover en créant des modes de collaboration interentreprises, des solutions et des services nouveaux tant du point de vue de la prévention, de l’assurance, de la gestion de crise et du règlement du sinistre. »
Ségolène Kahn
Commentez