Même s’ils ne maîtrisent que difficilement la notion de cyber-risque, les dirigeants d’ETI se disent informés, et déclarent à 76 % qu’ils ont subi au moins un incident cyber en 2017.
La cybersécurité et la prise en compte du risque cyber sont devenues un enjeu majeur pour toutes les organisations. Et cela d’autant plus que les menaces sont réelles, qu'elles se multiplient, et que personne n’est à l’abri.
S’intéressant plus particulièrement aux ETI, aux entreprises de taille intermédiaire, Bessé et PwC ont enquêté sur les spécificités de ce secteur. Il apparaît que les dirigeants des ETI et des 'grosses' PME comprennent la cyber-menace, guidés en cela par une forte médiatisation de ce phénomène. Mais ils ont encore du mal à traduire cette prise de conscience en actes et à la prendre en compte au niveau stratégique, et non plus tactique.
Informés, sensibilisés, mais une conscience relative
Même s’ils peinent à donner une définition de la notion de risque cyber, les dirigeants ont conscience de la gravité et de la complexité du risque, et de sa nature à s’amplifier. Paradoxalement, lorsqu’ils évoquent leur entreprise, ils craignent plutôt les menaces externes, les cybercriminels, qui pourtant ne représentent que 17 % des incidents cyber.
A l’inverse, les 57 % d’attaques internes - qui concernent les employés actuels et passés ou qui ont favorisé la propagation des malwares - ainsi que les concurrents, sont sous-estimés dans l’évaluation des menaces. Concernant leurs entreprises, la perception des risques par leurs dirigeants est donc bien présente, mais tout à fait relative.
Autre déphasage avec la réalité que l’étude a détecté, si les dirigeants identifient les éventuels impacts opérationnels comme en termes d’image d’un événement cyber, ils ne disposent néanmoins pas d’une vision précise de ses conséquences financières potentielles.
Des dirigeants mal ou pas préparés !
- 76 % des sondés déclarent avoir subi au moins un incident cyber en 2017 ! Le danger est réel et bien présent, et semble-t-il reconnu. Alors pourquoi cette conscience n’a que peu d’effet dans la préparation et la protection ?
- 39 % seulement des dirigeants affirment que leur entreprise sensibilise leurs collaborateurs en matière de cybersécurité ;
- 19 % déclarent ne pas avoir mis en place de stratégie de protection de l’information !
Pour les experts de PwC, « la posture rationnelle, voire parfois attentiste des dirigeants d’ETI, est compréhensible. Mais elle ne peut être pleinement efficace face à ce risque de nouvelle génération dont les spécificités singulières font qu’il serait vain de rechercher à en acquérir la pleine maitrise avant d’agir ».
Pour eux, l’objectif devrait plutôt être d’organiser la cyber-résilience des ETI face à cette menace nouvelle d’une grande complexité. Et pour cela, il faut agir dès à présent et aller plus loin, plus concrètement, pour favoriser le partage d’expérience et de bonnes pratiques inter-entreprises.
Et pourquoi pas aller jusqu’à la création d’un cluster cybersécurité dédié aux ETI ? Une démarche intéressante et que l’on imagine désintéressée (?)...
Image d’entête 643396472 @ iStock Lightcome