Le cabinet Forrester Consulting, pour le compte de l’assureur Hiscox, vient de publier une étude sur la gestion des risques Cyber dont 39% des répondants appartenaient à des petites entreprises.
Forrester Consulting a interrogé près de 5400 professionnels impliqués dans la stratégie de cybersécurité de leur entreprise soit environ 1000 personnes au Royaume Uni, aux Etats Unis et en Allemagne et 500 en France, Espagne et Pays-Bas. Les 39% des répondants qui correspondent aux petites entreprises de moins de 50 employés représentent donc un panel de 2000 personnes.
Parmi elles, 47% ont rapporté un cyber-incident dans l’année soit une augmentation de 14% en un an. Alors que le coût moyen du pire cyber-incident de l’année est de 9000 euros, soit le triple de celui de l’année précédente, 21% de ces petites structures annoncent tout de même une réduction d’au moins 5% de leur budget dédié aux cyber-risques pour l’année suivante. Or d’ores et déjà, la proportion des budgets alloués aux cyber-risques n’est que de 8,3% (9,5% dans les grandes entreprises) de leurs dépenses informatiques. En ce qui concerne le personnel dédié à cette tâche, pour 23% de ces entreprises, aucun salarié n’est préposé à la gestion de ces risques alors que 53% d’entre elles, en déclarent moins de 5.
A la question « Combien de temps se déroule-t-il avant la découverte de la faille la plus importante dans votre Système d’Information ? », elles sont 11% à déclarer une journée et 5% plus d’une semaine. Si l’on compare ces chiffres à ceux de plus grandes structures (8% en un jour et 4% en plus d’une semaine), les chiffres ne semblent pas trop éloignés. A noter tout de même que le cabinet d’études précise que la nature de la faille n’a pas été prise en compte dans cette question et que l’on peut imaginer que celles auxquelles font référence les PME et grandes entreprises soient d’un tout autre ordre que celles des petites. Pour rappel, ces chiffres ne relèvent que du vécu des personnes interrogées et ils sont loin de la réalité car parfois il faut plus d’un an pour détecter des intrusions majeures.
En dépit des budgets en réduction et du peu moyens humains qui y soient consacrés, la gestion des risques cyber est pour 56% des entreprises de moins de 50 salariés un sujet de « priorité majeure ». Cependant la réalité semble assez éloignée des volontés de la Direction avec seulement 28% de responsable Sécurité nommé et 22% d’équipes dédiées quand ce n’est pas le cas. La dernière alternative pour 23% étant le recours à des prestataires externes. Reste donc 31% d’entre elles sans aucun personnel dédié à la cybersécurité.
Enfin si l’on considère la capacité de ces entreprises à réellement gérer les cyber-risques, une série de questions a permis au Forrester de « mesurer » en quelques sortes le niveau de pratique de chacune d’entre elles. Le classement révèle que les structures de moins de 50 salariés sont situées dans la tranche basse du panel de l’étude avec seulement 7% entrant dans la catégorie Expert, 76% dans celle Novice et 17% situées entre ces deux extrêmes.
Hiscox recommande 7 bonnes pratiques aux petites entreprises à commencer par désigner un Responsable Sécurité, mettre en place des processus (collecte des données de cybersécurité, audit interne ...) et planifier, faire des opérations de sensibilisation du personnel, réparer les failles quand il y a eu incident, ne pas mésestimer les risques liés à la chaîne logistique, opérer des simulations d’attaques (interne et externe). Enfin l’expert en la matière n’oublie pas de proposer de souscrire à ... une cyber-assurance.