Des entreprises inégalement armées face aux dangers

Selon les chiffres de la septième édition du Club des experts de la sécurité de l’information et du numé­rique (Cesin), 54 %  des entreprises françaises auraient fait l’objet d’une cyberattaque réussie (avec répercussions flagrantes) en 2021. Si les entreprises semblaient, avant 2020, cultiver une sorte de déni face à l’explosion de la cybercriminalité, la pandémie de Covid – et la multiplication des incidents que le télétravail a favorisée – les a placées devant l’urgence de la situation. Entre la prise de conscience des staffs, le développement des souscriptions de polices d’assurance, et la majoration des budgets sécurité, le monde de l’entreprise commence à prendre le risque cyber au sérieux. Reste que l’augmentation des enveloppes allouées aux outils ne constitue pas une réponse suffisante. La lutte contre les cybervirus suppose une hygiène numérique constante et des « gestes barrières » permanents de la part de chacun. On avance souvent que 80 % des intrusions sont rendues possibles par la négligence des salariés. La sensibilisation, la formation, la systématisation d’exer­cices cons­tituent un prérequis absolu de la cybersécurité des entreprises, les plus petites comme les plus grandes.

Les PME et TPE particulièrement vulnérables

Si les entreprises qualifiées d’opérateurs d’importance vitale (OIV) ou d’opérateurs de services essentiels (OSE) sont protégées de manière satisfaisante par l’Agence nationale de la sécurité des systèmes d’information (Anssi), les PME – a fortiori les TPE – ainsi que les ETI non identifiées comme d’importance vitale s’avèrent particulièrement vulnérables, faute de systèmes de sécurité probants.

80 % des intrusions
sont rendues possibles
par une négligence interne

Un rapport sénatorial du 18 juin 2021 préconise à cet égard la constitution d’un « package de solutions de cybersécurité pour les TPE et PME », notamment face au développement du cloud. La sécurisation des réseaux et applications numériques est d’autant plus urgente que les cybercriminels, de plus en plus professionnels, mènent de véritables études de marché : lorsque les cibles attei­gnent un niveau supérieur de pro­tection, ils réorientent leur tir vers des entreprises a priori plus vulnérables. La consolidation de la cyber­défense des grandes entreprises a ainsi eu comme effet le détour­nement de la malveillance vers les plus petites structures. Le nombre croissant de cyberattaques sophistiquées et le passage à des usages de travail hybrides ont rendu les approches traditionnelles de la cybersécurité tout à fait insuffisantes. Aujourd’hui, l’ensemble des organisations doivent se concentrer sur l’identification et l’évaluation de leurs risques de cybersécurité les plus urgents et planifier une transformation profonde de leur écosystème informatique. 

Des coûts cachés cinq fois supérieurs aux rançons

Car les effets des attaques peuvent être désastreux. Selon le rapport 2022 d’Hiscox, une entreprise britannique aurait ainsi chiffré à 6 millions d’euros la facture de l’ensemble des attaques qu’elle aurait subies. En Allemagne, en Irlande ou aux Pays-Bas, le coût de la cybercriminalité pour les victimes les plus importantes dépasserait les 4,5 millions d’euros par entreprise. Frais d’interventions, rachat de matériel, coût d’interruption de l’activité, dégradation de la réputation, perte de confiance, investissements technologiques, formation, recrutements de profils cyber : les coûts cachés de la cybercriminalité sont cinq à dix fois plus élevés que le montant des rançons. La part des entreprises acceptant de payer ces dernières est d’ailleurs difficile à établir. Les données sont ici strictement déclaratives et l’on observe des écarts importants d’une source à l’autre : 45 % selon une étude menée en 2022 à l’échelle mondiale par l’éditeur Splunk, 66 % selon le rapport 2022 d’Hiscox.