Si les grandes entreprises sont fortement sensibilisées aux risques cyber, la situation est plus contrastée dans le segment en dessous, les ETI, celles qui regroupent entre 500 et 5 000 collaborateurs. Le cabinet d'études et de conseils PwC et le courtier en assurances Bessé ont mené une enquête sur 432 ETI françaises pour connaître leur perception de ce type de risque. Principale caractéristique, elles estiment qu'il est d'abord d'origine externe, l'étude montre au contraire qu'il est avant tout interne. Seuls 17% des incidents constatés l'an passé sont dus à une cyberattaque externe organisée, 54% des entreprises constatent qu'ils proviennent de salariés actuels ou passés.
Des chiffres significatifs, mais qu'il faut interpréter. Les salariés en cause sont souvent coupables par négligence, par exemple en introduisant des malwares par leurs mauvaises pratiques. Les ETI sous-estiment également la concurrence. Ils pensent spontanément que seuls des cybercriminels peuvent les attaquer. Leur perception du risque est donc déformée et leur stratégie insuffisante. Les dirigeants délèguent à leur DSI ou à des sous-traitants, mais sous-estiment le risque de paralysie pour une activité, une usine, ou pour l'ensemble de l'entreprise.
L'information est faiblement protégée dans les ETI
Les dirigeants des ETI, note l'étude, sont mal préparés à une crise majeure, après une cyberattaque. Seuls 39% d'entre eux ont engagé une politique de sensibilisation de leurs collaborateurs, 19% seulement ont une stratégie de protection de l'information. Les conséquences financières d'une attaque sont mal perçues, l'assurance encore largement ignorée.
Les dirigeants d'ETI sont pourtant informés du risque cyber, 76% de ceux interrogés dans l'étude ont subi un incident de ce type en 2017. Ils restent sensibilisés par l'actualité médiatique qui rend compte des grandes attaques, mais ont du mal à bien distinguer le risque cyber du risque industriel qu'ils connaissent déjà. Selon Pierre Bessé, président du cabinet éponyme, les risques de type industriels sont accidentels, stables et cantonnés, à l'inverse les risques cyber qui sont d'origine malveillante, restent évolutifs et systémiques. S'ils ne les distinguent pas rapidement, les dirigeants d'ETI accentuent la fragilité de leurs entreprises.
@Visiteur11380 : Je suis d'accord mais je ne vois pas de raison de facturer aux clients une sécurité qui est censé être mise en place dès la conception d'un produit ou autre... Cela pour moi est une obligation aujourd'hui d'implanter la sécurité sinon pourquoi bon proposer/vendre un service.. Enfin, le problème est qu'aujourd'hui beaucoup de manufacturer/revendeur de solutions de "cyber-sécurité" profitent pour gonfler les prix de solutions et, cela pour une ETI/PME est impossible à investir dans le temps.. L'autre côté est qu'il y a beaucoup de DSI/RSSI qui connaissant que des solutions propriétaires, alors que dans le monde open-source il y a maintes solutions robuste et stable.
Signaler un abusC'est pas un manque de sensibilisation à la cyber-sécurité dont souffrent les ETI, c'est simplement d'une volonté de ne pas investir dans quelque chose qu'ils ne peuvent pas facturer aux clients.
Signaler un abus