Étude : La cybersécurité préoccupation des entreprises en 2019 - Partie 1

FRC Février 2019

La cybersécurité est plus que jamais un sujet au cœur des préoccupations des entreprises, en cause, l’accroissement de la digitalisation de celles-ci : évolutions techniques au niveau des applications, des infrastructures, transformation des pratiques avec la nécessité de partager et d’accéder à tout moment et n’importe où à l’information. SYLOB, s’est associée à Hub One, l’Usine nouvelle et le cabinet d’études Infopro Digital pour mener une enquête* sur les menaces, les pratiques et les tendances en matière de cybersécurité.

Cybersecurité

Des entreprises préparées mais pourtant inquiétées 

Sur une échelle de 1 à 10, 51 % des dirigeants jugent leur degré de maturité en terme de cybersécurité supérieur ou égal à 7 ! Notons que la note moyenne pour les TPE/PME se situe à 5,7 contre 7 pour les ETI/GE.

Malgré ce haut degré de maturité, 55 % des entreprises affirment avoir subi des incidents au cours des 12 derniers mois, dont 31 % plusieurs fois. Les ETI/GE étant les plus touchées puisque 73 % d’entres elles affirment avoir été victimes de cyber-attaques en 2018 !

Pour les interrogés, ces attaques ont majoritairement ciblé des données sensibles de l’entreprise (33 %), un site Intranet ou un service accessible uniquement en interne (16 %), un site Internet (14 %), des matériels et équipements mobiles (14 %), des outils de production (14 %).

Les conséquences expérimentées, suite à ces attaques, sont l’arrêt ou un ralentissement de l’activité de l’entreprises pour 43 % des répondants, aucune conséquence à 23 %, une atteinte à la réputation de l’entreprise à 8 %, une perte financière suite à une demande de rançon à 4 %, une perte de la base de données client à 4 %, une atteinte à la propriété intellectuelle à 3 % et une baisse du chiffre d’affaires à 2 %.

Parmi les acteurs les plus cités pouvant engendrer des failles en terme de cybersécurité (plusieurs réponses possibles), 54 % évoquent une action délibérée d’un employé corrompu ou démotivé, 53 %  une erreur humaine involontaire, 44 % des organisations criminelles, 29 % des concurrents et 24 % des organisations idéologiques. L’ordre varie légèrement suivant la taille des organisations puisque les TPE/PME citent en premier lieu une erreur humaine involontaire. 

Cyber-attaques et impacts les plus redoutés

Parmi les attaques existantes (3 réponses possibles), les plus redoutées sont les ransomwares à 46 % (53 % pour les TPE/PME), l’infection par un logiciel espion à 43 %, la destruction ou l’altération d’informations à 42 %, le piratage d’informations critiques liées au métier à 33 % (52 % pour les ETI/GE), les virus à 30 %, le phishing à 27 % ou encore le vol de données d’identification à 23 %. 

Les principaux impacts craints (3 réponses possibles) sont un arrêt ou un ralentissement de l’activité de l’entreprise à 67 %, une atteinte à la réputation de l’entreprise à 34 %, une perte financière suite à une demande de rançon à 30 %, une perte de la base de données client à 26 %, une atteinte à la propriété intellectuelle à 23 % et une baisse du chiffre d’affaires à 20 %. 

Il n’est pas anodin que l’attaque la plus redoutée soit les ransomwares, puisque presque 1 personne interrogée sur 2 affirme que son entreprise a été touchée par ce type d’attaque. Parmi les entreprises concernées seulement 6 % avouent avoir payé une rançon pour récupérer leurs données.

Quid de la politique de sécurité des systèmes d’information ?

54 % des interrogés déclarent que leur organisation dispose d’une politique de sécurité des systèmes d’information clairement définie. 20 % affirment qu’une politique de sécurité est en cours de déploiement, 17 % que le projet est en cours de réflexion mais encore 7 % indiquent qu’aucune politique n’existe ou n’est prévue ! Bien évidemment, les ETI / GE sont les plus avancées sur le sujet puisque 76 % disposent déjà d’une politique de sécurité des SI contre 38 % des TPE/PME.

Quelque soit la taille des organisations, les principales mesures techniques en places ou en cours de déploiement au sein des organisations (plusieurs réponses possibles) sont à 73 % le renforcement de la sécurité de l’ensemble des équipements, à 70 % le renforcement des contrôles d’accès et des droits des utilisateurs, à 54 % la réalisation d’un audit de sécurité du SI et à 52 % le renforcement de la protection des données.

En second lieu, les organisations font appel à des prestataires externes notamment pour avoir recours à du conseil externalisé (34 %), pour assurer la gestion de leur sécurité (24 %) ou encore pour effectuer des tests de vulnérabilité (23 %).

Au niveau humain et organisationnel, les actions mises en œuvre ou en cours d’application sont à 65 % la sécurisation des accès physiques aux lieux, à 61 % la sensibilisation des risques de cybersécurité et à 57 % la mise en œuvre et le respect d’une politique de sécurité efficace. Un changement fondamental d’organisation est également envisagé pour 36 % des répondants.

Conscients de disposer d’un déficit de connaissance et de l’intérêt de disposer d’un regard externe et objectif, 26 % des interrogés envisagent de demander l’appui à des entreprises de conseils spécialisées en cybersécurité,  21 % prévoient de dispenser des formations métiers et 17 % pensent réaliser un audit organisationnel par un expert externe.

Des enjeux majeurs pour des budgets encore trop limités

Les enjeux prioritaires à la mise en place d’un système de cybersécurité les plus cités sont la non-interruption de l’activité de l’entreprise à 41 %, la sécurité des données à 29 %, l’aspect économique à 12 %, la transformation digitale à 10 % et la réglementation à 5 %.


Les principaux freins rencontrés par les organisations pour se protéger des cyber-attaques sont à 37 % le manque de moyens financiers, à 32 % le manque de ressources internes spécialisées, à 28 % le manque de sensibilisation aux risques et à 28 % également un déficit de connaissance qui porte aussi bien sur les solutions existantes pour se prémunir des attaques que sur les acteurs spécialisés sur le marché.

Effectivement, le principal frein relevé par les interrogés à savoir le manque de moyens financiers se confirme puisque 56 % des interrogés déclarent que moins de 5% du budget total de l’entreprise est alloué à la cybersécurité. Pour pallier à cette insuffisance, 42 % déclarent que leurs investissements sur ce sujet sera à la hausse en 2019 et ce chiffre atteint même 59 % pour les entreprises disposant d’un CA entre 21 et 500 millions d’euros.

Synthèse & chiffres clés

Les entreprises apparaissent relativement matures en matière de cybersécurité et conscientes des enjeux majeurs et risques encourus en cas de défaillance de leur politique de sécurité. C’est pourquoi, ces organisations, toutes tailles et secteurs confondus, mettent en place une véritable politique de sécurité du système d’information qui passe par des mesures techniques, humaines et organisationnelles pour protéger leurs données. Conscientes d’un manque de budget alloué à la cybersécurité, celles-ci prévoient d’investir plus fortement en 2019 pour renforcer leurs infrastructures physiques et virtuelles, sensibiliser et former leurs salariés par l’intermédiaire de partenaires externes spécialisés sur le sujet.
 

Cybersécurité

* Étude menée fin 2018 auprès des décideurs du monde industriel (Direction générale, DSI, Direction technique, Direction de la stratégie digitale…), toutes tailles (TPE, PME, ETI et GE) et tous secteurs confondus (service à l’industrie,  énergie, métallurgie, électronique, automobile, aéronautique, chimie, agroalimentaire…).