Les entreprises sont-elles préparées au risque cyber ?

Une récente étude pointe du doigt le faible niveau de défense des entreprises aux risques de cyber-attaques. Avec la généralisation du télétravail, le sujet est pourtant devenu central.

A l’époque de la généralisation du télétravail, pandémie oblige, quel est l’impact du cyber risque sur les entreprises ? Considérable si l’on en croit une étude récemment publiée par le cabinet Bessé, spécialiste du courtage et du conseil en assurances auprès des ETI. Et le risque serait particulièrement sensible pour les entreprises non cotées, fragilisées par la crise sanitaire et souvent peu préparées à faire face à une attaque informatique. Selon une étude précédente publiée en 2019 par ce même cabinet, réalisée en partenariat avec l’IFOP, seuls 32% des dirigeants d’ETI se disent “tout à fait préparé” à affronter une crise cyber. Mais les grandes entreprises ne sont pas forcément mieux loties, la porosité à la menace restant largement sous-évaluée, tout type d’entreprises confondu. Une porosité qui devrait encore s’accroître avec le déploiement désormais acté de la 5G… L’ONU évalue ainsi à 5 200 milliards de dollars le cout de la cybercriminalité pour l’économie mondiale entre 2020 et 2025.

Des conséquences graves sur la pérennité des entreprises

Il apparaît en effet que les attaques de ce type fragilisent très fortement les entreprises qui en sont les victimes. Voire qu’elles peuvent menacer leur survie. Sur l’échantillon retenu pour l’étude du cabinet Bessé, le risque de défaillance des sociétés internationales augmente en moyenne de 40 % à 50 % dans les trois mois après l’annonce d’un évènement cyber. Un tel risque atteint même 80 % pour les entreprises françaises ! Et celles qui sont aptes à se remettre de l’événement n’en paieront pas moins les conséquences en matière de réputation et donc de valorisation, “l’actif le plus précieux dont elle dispose”, écrit Pierre Bessé, PDG du groupe éponyme. Toute entreprise perdrait en moyenne 8 à 10% de sa valeur marchande après l’annonce d’une cyber-attaque.

Or, la menace se fait de plus en plus pressante. 90% des entreprises françaises ont subi au moins une incidence cyber en 2020. Les exemples abondent. Le 21 novembre dernier, le système informatique de Ouest France était victime d’une cyber-attaque, contraignant le groupe à réduire drastiquement son nombre d’éditions quotidiennes. Une mésaventure vécue également par Eurofins, Sopra Steria, les Mutuelles du Mans ou l’électronicien Eolane pour s’en tenir aux cas les plus médiatisés. Surprenant ? Pas si l’on se réfère aux données d’IBM Ponemon Institute, selon lesquelles 80 % des entreprises françaises n’ont pas de plan de réponse aux incidents robustes.

De l’urgence de prendre en compte la menace

Il y a donc là une certaine forme d’urgence car “jamais un tel péril n’a autant menacé l’économie, soutient encore Pierre Bessé. Il est systémique, diffus et sournois, plus encore que le Covid. Pour les entreprises, la question n’est plus de savoir si elles vont être attaquées mais quand et avec quelle intensité”. De fait, si la situation actuelle a permis de faire gagner des années aux entreprises en matière d’acculturation numérique, elle expose en retour considérablement leurs systèmes informatiques aux actes de cyber malveillance. D’où l’appel du cabinet Bessé à une prise de conscience générale, à une formation adaptée et à une souveraineté française et européenne renforcée sur les données. Mais également à une réponse croisée, combinant interventions publiques et privées, à savoir celle des assureurs et des courtiers afin d’adapter les couvertures dédiées à la situation exacte d’un secteur ou d’une entreprise.

Pour autant, les procédures de sécurité sont désormais bien identifiées. En amont, les organisations doivent mettre en place des systèmes simples, comme la mise à disposition de leurs collaborateurs d’un environnement de travail sécurisé (VPN, applications d’audio et visioconférences sécurisées), l’installation d’applicatifs et de logiciels validés préalablement par la Direction Informatique de l’entreprise ou encore une sauvegarde quotidienne systématique sur les serveurs de l’entreprise.

En cas d’attaque, certaines bonnes pratiques sont également recommandées. Notamment isoler la faille, reconstruire le système et notifier l’attaque à la CNIL. Mais il convient surtout de communiquer rapidement auprès des clients, des actionnaires et des salariés pour éviter un effondrement de l’image de marque de l’entreprise. Refuser d’admettre une attaque n’abusera personne préviennent ainsi les auteurs de l’étude. Les conséquences en seraient même encore plus désastreuses en matière d’impact sur la valorisation de l’entreprise.

 

Articles en relation

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.