D’après le rapport Hiscox « Cyber readiness 2023« , le risque cyber se maintient à un niveau élevé, même pour les petites structures, mais la réponse des entreprises montre des signes encourageants…
Une menace toujours bien réelle pour toutes les formes d’entreprises
53 % des entreprises françaises ont signalé au moins une attaque en 2022 (+1 point), un taux identique à la moyenne internationale.
La part d’entreprises touchées progresse pour la 3e année consécutive.
Les TPE et PME de plus en plus exposées
Si 70 % des entreprises de plus de 1 000 salariés ont été touchées par une cyberattaque l’an passé (vs 62 % l’année précédente), l’exposition des petites structures se généralise : 36 % des entreprises de moins de 10 salariés ont été touchées par au moins une attaque, une progression de 50 % en 3 ans.
Une facture souvent lourde à payer
En France, comme au niveau mondial, le coût médian des cyberattaques sur une année est de 15 000 €, en léger recul par rapport l’année précédente.
Mais de lourdes pertes sont toujours possibles : dans le monde, 1 entreprise attaquée sur 8 (12 %) a enregistré des coûts supérieurs à 235 000 €, 8 entreprises ont rapporté des cyberattaques supérieures à 5 millions d’euros contre 4 l’année précédente.
A l’échelle française, 39 % des entreprises signalent des pertes totales supérieures à 23 000 €.
La facture s’alourdit pour les administrations publiques
Quatre secteurs ont enregistré des coûts moyens supérieurs à 18 800 € : l’industrie, l’énergie, le transport et la distribution, les administrations et organismes à but non lucratif.
Cette dernière catégorie connaît un bond du coût des cyber-attaques avec une augmentation de 83 %.
L’évolution est aussi importante, dans une moindre mesure pour le transport et la distribution (+ 28 %).
Plus de la moitié des entreprises continuent de payer la rançon
20% des entreprises disent avoir été attaquées via ransomware et 63% d’entre elles déclarent avoir payé la rançon demandée pour récupérer leurs données.
Les principales raisons avancées pour justifier ce paiement sont la protection des données internes confidentielles ( 43%) ou des données clients (42%).
Le résultat du paiement d’une rançon reste toutefois très aléatoire : moins de la moitié des entreprises (46%) ont récupéré la totalité de leurs données (contre 59% en 2022), dans un quart des situations les données ont quand même fuité ou la clé de récupération fournie n’a pas fonctionné.
Et 20% de ces entreprises ont subi une nouvelle attaque par la suite…
La fraude est désormais la menace n°1
Un tiers des entreprises attaquées (34 %) et 41 % des entreprises françaises ont subi des pertes financières à la suite d’un détournement de paiement.
Si cette approche est moins lucrative, elle demande aussi moins de compétences techniques.
Elle devance nettement le mésusage des ressources IT (25 %, – 4 points) et l’infection par des virus (24 %, – 1 point).
En France, les serveurs maison (34 %, – 2 points) et le piratage des adresses e-mail professionnelles (32 %, – 8 points) sont les principaux points d’entrée, devant les serveurs cloud d’entreprise (27 %, – 13 points) et les erreurs d’employés face à des techniques comme le phishing ou l’ingénierie sociale (22 %, + 2 points).
Des entreprises mieux assurées…
Les cyberassurances se généralisent : au niveau mondial, trois quart des entreprises attaquées disposaient d’une forme de couverture.
En France, 57 % des entreprises disent être équipées d’une assurance cyber (24 % avec une assurance dédiée, 33 % dans le cadre d’un contrat plus large), 13 % seulement des entreprises françaises disent ne pas avoir ou ne pas prévoir de s’équiper d’une assurance cyber (vs 14 % l’année dernière, 18% dans le rapport 2021).
… et mieux préparées
Le coût médian des dépenses de cybersécurité a progressé de 39 % sur les trois dernières années pour atteindre 140 000 €.
Dans les entreprises de moins de dix salariés, il a quadruplé en deux ans.
En France, la cybersécurité représente toujours 22 % des dépenses de l’IT (stable par rapport à l’année dernière), contre 23 % pour la moyenne des pays sondés.
Cette préparation produit ses effets : 45 % des grandes entreprises qui affirment que leur exposition au risque cyber a diminué l’expliquent par une augmentation des budgets et meilleures solutions de protection, contre 36 % l’an passé.
Passée au crible du modèle d’évaluation d’Hiscox, la grande majorité des entreprises juge avoir un niveau de maturité cyber intermédiaire.
28 % des entreprises de moins de 49 employés, 21 % des entreprises de 50 à 249 employés, 17 % des entreprises de plus de 250 employés se définissent comme cyber expertes.
Une confiance en léger recul, mais une prise de conscience réelle
A l’échelle internationale, le risque cyber n’est plus identifiée comme menace n°1 que dans 5 pays sur 8, contre 7 l’an dernier, l’attention se déportant sur les incertitudes économiques.
En France, la confiance apparaît en léger recul : 61 % des entreprises se disent confiantes dans leurs technologies IT pour les protéger contre les cyber-incidents, contre 66 % l’année précédente, 60 % se disent confiante dans leur préparation face au risque cyber contre 67 % en 2022.
69 % ont conscience de l’importance du dommage potentiel pour leur activité, leurs clients et partenaires en cas d’attaque mal gérée.
« De manière générale, peu d’entreprises encore s’affirment expertes en matière de cybersécurité.
commente Benjamin Langlet, Responsable Cyber chez Hiscox France
Mais le déficit de confiance dans les capacités cyber demeure plus marqué dans les PME et TPE, qui sont notamment inquiètes de ne pas être en mesure de satisfaire à toutes les exigences d’une bonne protection – à l’image de la mise à jour des correctifs logiciels –, que dans les grandes entreprises.
Pour autant, on constate une évolution rapide pour ces petites structures : d’un côté, la prise de conscience des dirigeants s’accompagne d’une augmentation des moyens dédiés, de l’autre les bonnes pratiques cyber se formalisent et il existe désormais sur le marché des offres d’assurance adaptées et accessibles pour ces entreprises ».
Méthodologie
Le rapport Hiscox Cyber readiness 2023 s’appuie sur une étude conduite par Forrester Consulting. Au total, 5 005 professionnels en charge de la stratégie de cybersécurité de leur entreprise ont été sondés (plus de 900 personnes par pays pour les États-Unis, le Royaume-Uni, la France et l’Allemagne, plus de 400 pour l’Espagne et plus de 200 pour la Belgique, la République d’Irlande et les Pays-Bas). Les participants ont rempli le questionnaire en ligne entre le lundi 9 janvier 2023 et le jeudi 2 février 2023.
