Le commentaire qui accompagne le baromètre Ipsos pour PwC parle de lui même : « Les entreprises françaises dans le déni : seule 1 entreprise sur 2 a mis en place une stratégie de cybersécurité ».
A quelques jours des Assises de la Sécurité 2018, qui se dérouleront comme chaque année à Monaco (IT Social y sera), les publications d’études sur la cybersécurité se multiplient. Et cherchent pour certaines à attirer notre attention en faisant des révélations qui parfois font froid dans le dos.
Ainsi en est-il du baromètre Ipsos pour PwC « Les entreprises face aux enjeux de la cybersécurité 2018 », dont la conclusion est sans appel : « Seule 1 entreprise française sur 2 a mis en place une stratégie de cybersécurité » !
Si globalement toutes les entreprises se déclarent sensibilisées à la cybersécurité, leur engagement varie, en particulier en fonction de leur taille. Ainsi, 29 % seulement des entreprises françaises perçoivent la cybersécurité comme une priorité. Un chiffre à rapprocher des 32 % seulement de dirigeants et collaborateurs qui jugent importants les dangers que fait peser le risque de cyber-menaces sur leur entreprise.
Le graphique ci-dessus démontre, nous l’avons évoqué, que la perception de la menace varie selon la taille de l’entreprise. La sensibilisation aux cyber-risques dépasse à peine les 50 % dans les entreprises moyennes à grandes (52 % pour ces dernières). C’est certes mieux que la moyenne, mais le chiffre reste bien bas pour des menaces réelles et sur lesquelles dirigeants et employés devraient être sensibilisés.
La cyber priorité pour 3 entreprises sur 10
Aujourd’hui, 2 entreprises françaises sur 3 considèrent que le risque de cyber-menaces n’est pas important pour elles ! Un chiffre qui confirme le déni évoqué plus haut. Tant que les entreprises n’ont pas été durement touchées, elles sont plutôt dans la sous-estimation voire le déni du risque.
Par conséquent, la dynamique des entreprises est curative au lieu d’être préventive. Mais lorsqu’on mesure et analyse les dégâts causés par une cyberattaque pour améliorer sa défense, il est déjà trop tard !
Des mesures en place mais insuffisantes
Seulement 2 entreprises françaises sur 10 se disent « tout à fait capables » de gérer une cyberattaque ! Pour contrer les cyber-attaques, 78 % des entreprises interrogées ont déclaré avoir pris au moins l’une des mesures suivantes, que les experts de PwC qualifient de « piliers de base de la cyberdéfense » :
- Investir dans des outils et solutions digitales permettant d’assurer un haut niveau de sécurité contre les cyberattaques ;
- Recruter une ou plusieurs personnes dédiées à la cybersécurité ;
- Elaborer une stratégie de défense ;
- Prendre une assurance couvrant le risque de cyberattaques et ses dommages.
Seulement voilà, 18 % seulement, soit moins de 2 entreprises sur 10, ont pris toutes ces mesures. Un chiffre bien bas, mais qui vient rappeler que le coût d’une protection absolue est prohibitif, tandis que le risque zéro n’existe pas…
Pas de recrutement en vue…
Autre démonstration du déni, 95% des entreprises françaises ne comptent pas engager une personne dédiée à la cybersécurité dans les 12 prochains mois. Voilà qui tombe bien, diront certains observateurs, le secteur affiche un déficit chronique de compétences et de formations. Il n’empêche que face aux menaces qui se multiplient, les entreprises feraient bien d’étoffer leurs équipes sur la cybersécurité.
La lente marche vers la cyber-assurance
Le baromètre s’est également consacré à la cyber-assurance, une pratique encore jeune, mais que sont venues éclairer de récentes et violentes cyber-attaques. En particulier, 3 entreprises sur 10 ne connaissent pas les offres de cyber-assurance !
En cause, moins le sentiment d’être protégé contre les risques que l’absence de connaissance sur ce sujet et sur les offres du marché chez les dirigeants d’entreprises.
Source : Baromètre « Les entreprises face aux enjeux de la cybersécurité 2018 » Ipsos pour PwC
Image d’entête 970501782 @ iStock OstapenkoOlena