Contexte et méthodologie

Dans le monde entier, les attaques informatiques se multiplient. Mais dans l’Hexagone, ce fléau explose : en 2015, le nombre des cyber-attaques a augmenté de 50 % ! Les entreprises françaises sont-elles conscientes des risques qu’elles courent ? De quelles mesures de protection disposent-elles en cette fin d’année 2016 ? Quelle est leur stratégie pour 2017 ?... Denjean & Associés, société d'expertise comptable, d’audit et de conseil, a jugé intéressant de les sonder sur ces thématiques.

Denjean & Associés a conçu le questionnaire en partenariat avec Gan Assurances, et a confié la réalisation du sondage à l’institut MRCC. L’enquête s’est déroulée en ligne, du 7 au 10 novembre 2016.

200 décideurs d’entreprises en charge de la stratégie informatique ont répondu à l’intégralité des questions.

A l’issue de l’enquête, Denjean & Associés a analysé les résultats agrégés fournis par MRCC.

Quelques enseignements clés de l'enquête

• A l’exception des grands groupes, toutes les entreprises sous-estiment les risques de cyber-attaque

38 % seulement des décideurs considèrent comme "important", ou "très important", le risque que leur société subisse une cyber-attaque ces prochaines années… et ce, alors que 52 % des entreprises ont déjà été piratées ! "Seuls les décideurs de grandes entreprises apparaissent conscients de la réalité de ce phénomène. A l’autre bout du spectre, les dirigeants de TPE et de PME sous-estiment fortement les risques liés à la cyber-sécurité", commente Thierry Denjean, président de Denjean & Associés. Comme nous allons le voir, cette erreur d’appréciation est notamment due à une méconnaissance de l’ampleur et des cibles de la cyber-fraude dans notre pays…

• Une méconnaissance de l’ampleur et des cibles du piratage informatique en France

Les décideurs d’entreprise se font de fausses idées sur la cyber-fraude. 77 % d’entre eux sous-estiment la vitesse de propagation de ce fléau dans l’Hexagone, pensant que le nombre des cyber-fraudes recensées en France n’a augmenté "que" de 10 % ou de 25 % en 2015, alors qu’il a crû de 50 % ! (Source : Anssi, Agence nationale de sécurité des systèmes d’information). Questionnés sur les cibles visées en priorité par les pirates, 50% des décideurs citent les multinationales ; et pour 23 % des répondants, les organismes publics constituent le premier choix des hackers. Seulement 28 % des personnes interrogées connaissent la bonne réponse : les PME concentrent dans notre pays près de 80% des cyber-attaques (source : Syntec).

• 58 % des TPE, environ 75 % des PME et des ETI, et 100 % des grands groupes se jugent bien protégés contre la cyber-fraude

Globalement, 70 % des entreprises s’estiment bien protégées contre la cyber-fraude. Une statistique qui recouvre des disparités : 100 % des grands groupes affichent leur confiance dans leurs process de cyber-sécurité, tandis que 58 % des TPE et environ 75 % des PME et des ETI se jugent bien protégées. Mais de l’avis de Thierry Denjean, les entreprises françaises pèchent par excès d’optimisme : "Nous avons constaté à quel point les PME, et dans une moindre mesure les ETI, sous-estiment les risques de piratage qu’elles encourent. On peut donc avancer qu’une part significative des structures qui se jugent prêtes à contrer une attaque sont, en réalité, vulnérables…."

• 75 % des sociétés disposent de process de cyber-sécurité. Changement régulier des codes d’accès au réseau et procédure d’authentification de tous les ordinateurs / commutateurs sont les plus répandus 

Les entreprises ayant adopté une politique de cyber-sécurité ont mis en place, en moyenne, trois bonnes pratiques. Les plus répandues sont le changement régulier par l’entreprise des codes d’accès à son réseau (mesure existant dans 56 % des structures), et l’instauration en son sein d’une procédure d’authentification de tous les ordinateurs et commutateurs (53 % des entreprises). La formation interne aux enjeux et aux précautions de base en matière de cyber-sécurité, et la création de différents degrés d’accès au réseau pour les collaborateurs selon leur niveau hiérarchique (respectivement pratiquées par 45 % et 44 % des sociétés) se disputent la troisième place sur le podium.

• En 2017, les deux-tiers des entreprises adopteront de nouvelles mesures de cyber-sécurité

67 % des entreprises comptent adopter en 2017 de nouvelles mesures pour lutter contre le piratage informatique. L’an prochain, 21 % des sociétés formeront pour la première fois leurs salariés aux enjeux et aux règles de base de la cyber-sécurité ; 20 % se mettront à changer régulièrement les codes d’accès à leur réseau ; 19 % instaureront une procédure d’authentification de leurs clients ou utilisateurs ; 17 % créeront différents degrés d’habilitation d’accès au réseau pour leurs collaborateurs, en fonction des niveaux hiérarchiques ; 16 % encrypteront leur base de données ; 15 % se doteront d’une procédure d’authentification de tous les ordinateurs et commutateurs de leur réseau ; 13 % souscriront leur premier contrat d’assurance contre le risque de cyber-fraude ; et 11 % nommeront un responsable de la cyber-sécurité.
De plus, en croisant différentes données, on observe que 10 % des sociétés n’ayant encore aucun outil de prévention fin 2016 comptent mettre en place une ou plusieurs mesures de cyber-sécurité en 2017. "Si ces entreprises appliquent leur programme, la proportion des entreprises françaises disposant d’un arsenal plus ou moins étendu de lutte contre le piratage informatique passera de 75 % actuellement à 85 % fin 2017", se réjouit Thierry Denjean.

• 60% des entreprises sont prêtes à consacrer à la lutte contre la cyber-fraude un budget annuel supérieur ou égal à 1 % de leur chiffre d’affaires

Bonne nouvelle : 90 % des entreprises françaises sont disposées à investir chaque année pour se protéger efficacement contre la cyber-fraude, et 60 % sont même prêtes à y consacrer un budget supérieur ou égal à 1 % de leur chiffre d’affaires. Parmi les différentes catégories d’entreprises, les PME et les ETI se montrent les plus enclines à réaliser un effort financier conséquent: les trois-quarts d’entre elles acceptent de dépenser chaque année pour leur cyber-sécurité entre 1 % et 2 % de leur chiffre d’affaires.

• Des décideurs d’entreprise conscients des nouveaux risques et prêts à agir !

"Si l’on exclut les dirigeants de très petites structures, peu ou pas du tout concernés par ces sujets, les décideurs apparaissent bien conscients des nouveaux risques encourus par les entreprises, et décidés à les combattre", souligne Thierry Denjean. En effet, 66 % des décisionnaires indiquent qu’ils se préoccuperont au cours des trois années à venir de lutter contre les "ransomwares" ; 70 % disent qu’ils s’attacheront à sécuriser les données mises sur le "cloud" ; et 70 % déclarent qu’ils veilleront à prévenir les risques liés aux objets connectés… Et si, au-delà des grandes entreprises, les ETI et même les PME françaises étaient en train de s’ouvrir aux réalités des cyber-risques ?