Les entreprises intermédiaires ne sont pas épargnées par les cyber-menaces. Elles sont même 76 % à déclarer avoir subi au moins un incident cyber en 2017.

76 % des ETI en France déclarent avoir subi au moins un incident cyber en 2017. Violation de fichiers, perte ou corruption de documents, vol de propriété intellectuelle, violation d’emails, logiciels malveillants, nos ETI connaissent toute la panoplie des cyber-attaques.

Cyber-ETI-1

Avec l’explosion des usages du numérique et la multiplication des équipements utilisés par les employés, le système d’information s’ouvre et s’expose au risque cyber. Il semblerait cependant que les dirigeants se montrent réceptifs aux dangers qui guettent leurs entreprises et sensibilisés voire informés des menaces, en particulier par leur médiatisation.

La conscience du risque cyber

Même s’ils peinent à donner une définition précise à la notion de risque cyber, les dirigeants d'ETI ont conscience qu'il s'agit d'un risque d'une extrême complexité, et de nature à s'amplifier. Pour autant, 39 % seulement affirment que leur entreprise sensibilise leurs collaborateurs en matière de cybersécurité. Et 19 % d'entre eux déclarent ne pas avoir mis en place de stratégie de protection de l'information.

Cyber-ETI-2

La perception du risque et de son étendue par les dirigeants des ETI est néanmoins relative, surtout en ce qui concerne leurs propres entreprises. En dépit des attaques, ils ne se sentent pas toujours directement exposés. Pour la grande majorité d'entre eux, la menace cyber est perçue comme une menace essentiellement externe (cybercriminalité) ; ils sous-estiment celle des concurrents ainsi que leurs vulnérabilités internes.

Dans les faits, la menace interne est majeure. Ainsi, une entreprise française sur 2 témoignent que les attaques proviennent d'employés actuels ou passés. Ces employés ne sont pas véritablement auteurs des attaques, mais ils favorisent la propagation des malwares.

  • 54 % des incidents cyber proviennent d'employés actuels ou passés ;
  • 17 % seulement sont imputables à des réseaux externes organisés ;
  • 32 % sont imputables aux interconnexions avec leurs fournisseurs de services, consultants et contractants passés ;
  • 34 % sont imputables à leurs concurrents.

Un risque considéré par trop technologique

La gestion du risque cyber n'est pas encore perçue comme stratégique mais encore technologique. Les dirigeants d'ETI délèguent souvent la gestion et la prévention des risques cyber à leurs DSI, équipes informatiques ou leurs sous-traitants, alors même que ce risque peut impacter et/ou paralyser l'entreprise dans son ensemble.

Le résultat est sans appel, les dirigeants d’ETI sont insuffisamment préparés à affronter la crise cyber.

  • 32 % seulement ont mis en place une procédure de gestion des incidents de sécurité impliquant la Direction Générale ;
  • 19 % déclarent ne pas avoir mis en place de stratégie de protection de l'information ;
  • 39 % affirment que leur entreprise sensibilise leurs collaborateurs en matière de Cybersécurité.

Cyber-ETI-3

Si les dirigeants identifient les éventuels impacts opérationnels, comme en termes d'image d'un événement cyber, ils ne disposent néanmoins pas d'une vision précise de ses conséquences financières potentielles. D’ailleurs, 30 % seulement des DSI des ETI rapportent directement aux DG.

Notons que seules 39 % des ETI déclarent avoir mis en place une organisation transversale associant les fonctions Finance, Juridique, Ressources Humaines, Opérationnelles, SI et RSSI pour piloter le risque cyber au sein de leurs entreprises.

Réagir, investir, s’assurer

Elles ne sont pas encore dans la moyenne, mais les ETI réagissent. Elles seraient 49 % à avoir mis en place une stratégie de cybersécurité.

  • 45 % des ETI ont augmenté leurs investissements dans la gouvernance du risque cyber et la mise en conformité en 2017 ;
  • 35 % ont réalisé une étude d’évaluation du niveau de sécurité de leurs SI ;
  • 29 % font appel à des prestataires externes.

Cyber-assurance

Quant à la cyber-assurance, elle n'est pas encore perçue comme un outil de traitement efficace du risque cyber. La plupart des dirigeants d’ETI axent prioritairement leurs réflexions sur la prévention et repoussent l'étude de solutions d'assurance, faute d'avoir suffisamment identifié leur degré d'exposition à la menace cyber ainsi que les conséquences qui en découleraient.

Source : étude « Les dirigeants d’ETI face à la menace cyber », de Bessé et PwC

29