Les résultats de l’enquête de Bessé et PwC mettent en évidence une situation paradoxale. En effet, les dirigeants d’ETI sont informés et sensibilisés au risque cyber : 76% des sondés déclarent avoir subi au moins un incident cyber en 2017. La forte médiatisation du sujet est également pour eux une source essentielle voire leur source principale d’information.
Pourtant, les dirigeants interrogés ne parviennent pas à donner
de définition précise à la notion de risque cyber. Ils ont
conscience qu’il s’agit d’un risque d’une extrême complexité, de
nature à s’amplifier, mais leur perception du risque et de son
étendue est néanmoins relative, en ce qui concerne leurs propres
entreprises.
En dépit des attaques, ils ne se sentent pas toujours directement
exposés. Pour la grande majorité d’entre eux, la menace cyber est
perçue comme une menace essentiellement externe
(cybercriminalité) ; ils sous-estiment celle des concurrents
ainsi que leurs vulnérabilités internes. Or, dans les faits, la
menace interne est majeure. Ainsi, seuls 17% des incidents cyber
sont imputables à des réseaux externes organisés. A l’inverse,
54% des sociétés françaises sondées témoignent que ces attaques
proviennent d’employés actuels ou passés (les employés n’étant
pas véritablement auteurs des attaques mais favorisant la
propagation des malwares)
Ainsi, les dirigeants reconnaissent qu’ils sont insuffisamment
préparés pour affronter une crise cyber : 19 % d’entre eux
déclarent ne pas avoir mis en place de stratégie de protection de
l’information et seuls 39% affirment que leur entreprise
sensibilise leurs collaborateurs en matière de cybersécurité.
Si les dirigeants identifient les éventuels impacts opérationnels
comme en termes d’image d’un événement cyber, ils ne disposent
néanmoins pas d’une vision précise de ses conséquences
financières potentielles.
« Si les dirigeants d’ETI et PME comprennent la cyber menace, ces derniers ont encore du mal à traduire cette prise de conscience en actes. Elle doit être prise en compte au niveau stratégique et non se cantonner au niveau tactique comme c’est encore souvent le cas. Une fois que les ETI et PME ont bien cerné le cyber risque, se pose alors la question des compétences, des talents qui peuvent accompagner les entreprises. Au-delà des moyens financiers engagés, c’est véritablement sur l’humain que repose cet enjeu majeur pour les entreprises », explique Philippe Trouchaud, associé en charge de la cybersécurité chez PwC.
