UTILISATION DES COOKIES : en poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer une navigation personnalisée, des publicités adaptées à vos centres d’intérêts et la réalisation de statistiques. Pour en savoir plus et paramétrer vos cookies, cliquez ici 

Seule 1 entreprise sur 2 a mis en place une stratégie de cybersécurité

Etudes et Documents
Outils
TAILLE DU TEXTE

Selon le baromètre Ipsos pour PwC, la cybersécurité n'apparaît pas comme un enjeu prioritaire pour les entreprises.

En 2017, au-delà d’avoir impacté la confiance des internautes dans le numérique, les cyberattaques ont coûté plus de 600 milliards de dollars à l’économie mondiale[1]. Parallèlement, à l’échelle mondiale, la cybersécurité est devenue l’une des quatre préoccupations les plus importantes pour les dirigeants d’entreprises[2]. En revanche, en France, la grande majorité des entreprises ne juge pas la cybersécurité comme une menace prioritaire et de ce fait ne se protège que partiellement contre des attaques. C’est le constat que dresse le baromètre établi par le cabinet de conseil et d’audit PwC et l’institut Ipsos, réalisé auprès de 600 entreprises françaises de toutes tailles.

La cybersécurité n’est pas perçue comme une priorité pour les entreprises françaises

Si la cybersécurité est perçue comme un enjeu prioritaire pour seulement 29% des entreprises en France, c’est surtout parce qu’en interne, un faible pourcentage (32%) des collaborateurs et dirigeants perçoivent comme important le risque de cyber menace dans leur entreprise. Plus l’entreprise est grande, plus le risque est perçu comme conséquent : ainsi, une majorité des personnes travaillant dans des entreprises de moyenne et grande tailles perçoivent ce risque comme important (54% des compagnies de 100 à 499 salariés, et 52% de celles de 500 salariés et plus). Les actes concrets manquent par ailleurs : seulement 2 entreprises françaises sur 10 se disent « tout à fait capables » de gérer une cyberattaque.

Pour Rami Feghali, associé chez PwC, « pour une majorité des entreprises françaises, la perception du risque Cyber est très éloignée de la réalité de la menace. De manière générale et c’est une constante dans l’histoire de la gestion des risques, tant que les entreprises n’ont pas été durement touchées, elles sont plutôt dans la sous-estimation voire le déni du risque. Conséquences : la dynamique des entreprises est curative au lieu d’être préventive. Lorsqu’on mesure et analyse les dégâts causés par une cyberattaque pour améliorer sa défense, il est déjà trop tard. Agir de la sorte, c’est accepter de laisser l’avantage aux attaquants ».

Les mesures cybersécuritaires prises par les entreprises sont insuffisantes

Pour améliorer leur défense, plus des trois quarts des entreprises interrogées (78%) déclarent avoir pris au moins l’une des mesures suivantes : investir dans des outils et solutions digitales permettant d’assurer un haut niveau de sécurité contre les cyberattaques, recruter une ou plusieurs personnes dédiées à la cybersécurité, élaborer une stratégie de défense ou encore prendre une assurance couvrant le risque de cyberattaques et ses dommages. Cependant, moins de 2 entreprises sur 10 ont pris toutes ces mesures (18%) ; ces mesures qui représentent pourtant les 4 piliers de base de toute défense cyber bien établie selon les experts de PwC.

Philippe Trouchaud, associé responsable du pôle Cyber Intelligence chez PwC, commente : « pour contrer les cyberattaques qui sont chaque année plus nombreuses, il est nécessaire de nous en donner les moyens aussi bien en terme d’investissements réalisés que de développement des nouvelles technologies, de recrutement et de formation des hommes. La cybersécurité n’est pas qu’une histoire de protection de systèmes informatiques. Il est nécessaire d’avoir une vision globale du risque pour en saisir tous les enjeux réels ».

Rami Feghali, associé chez PwC, ajoute : « le risque zéro n’existe pas, les menaces évoluent, la connectivité augmente et le coût d’une protection absolue est souvent prohibitif, il est dès lors indispensable pour les entreprises d’évaluer les risques cyber et de déterminer leur appétit à ce risque. Le cyber risk est comme les autres risques opérationnels, ce n’est pas qu’un sujet technologique. Une coopération interne entre les différents services est nécessaire pour détecter des failles, implémenter des contrôles, évaluer les niveaux de risque, mettre en place une gouvernance et gérer les risques dits opérationnels ».

Le marché de la cyberassurance peine à convaincre en France

Les offres de cyberassurance souffrent d’un manque de notoriété en France. En effet, 3 entreprises sur 10 ne connaissent pas les offres de cyberassurance. Selon Pauline Adam-Kalfon, associée chez PwC, « si les entreprises ne souscrivent pas à ce type d’offres, ce n’est pas parce qu’elles ont le sentiment d’être prémunies contre ces risques, mais parce qu’elles n’ont pas connaissance des offres disponibles sur le marché. De plus, les chefs d’entreprise connaissent encore trop peu l’existence de la cyberassurance. Il y a un réel effort à fournir de la part des assureurs pour faire évoluer le marché de la cyberassurance. Le potentiel de développement du marché est élevé ».

_______________________

NOTES

1. Rapport « Economic Impact of Cybercrime » de McAfee et CSIS.

2.Etude « Global CEO Survey 2018 » de PwC.