Si le risque cyber reste élevé, y compris pour les plus petites entreprises, leur réponse montre des signes encourageants. Le dernier rapport de l’assureur anglais Hiscox, “Cyber readiness 2023” met notamment en évidence l’efficacité d’une bonne préparation des entreprises au risque.
“De manière générale, peu d’entreprises encore s’affirment expertes en matière de cybersécurité. Mais le déficit de confiance dans les capacités cyber demeure plus marqué chez les PME et TPE inquiètes de ne pas être en mesure de satisfaire à toutes les exigences d’une bonne protection, à l’image de la mise à jour des correctifs logiciels, observe Benjamin Langlet, responsable Cyber chez Hiscox France. Pour autant, l’assureur constate une évolution rapide pour ces petites structures : “d’un côté, la prise de conscience des dirigeants s’accompagne d’une augmentation des moyens dédiés, de l’autre, les bonnes pratiques cyber se formalisent et il existe désormais sur le marché des offres d’assurance adaptées et accessibles pour ces entreprises.” Dans son rapport 2023 sur le gestion du cyber risque, Hiscox souligne que, face à une menace toujours d’actualité, le coût de la sinistralité reste stable du fait de cette prise de conscience accrue des dirigeants, mais aussi d’une couverture assurantielle en progression et des budgets en augmentation.
Les principaux enseignements du rapport
Dans un communiqué, l’assureur nous partage les informations les plus révélatrices de la situation actuelle. En plus de l’attestation d’une menace bien réelle et des TPE et PME de plus en plus exposées, il ressort un coût contenu de la sinistralité mais avec d’importantes disparités, des entreprises mieux assurées et mieux préparées, une facture qui s’alourdit pour les administrations publiques et la fraude comme menace n°1. Il en ressort également une confiance quant à la gestion du risque cyber en léger recul, mais une prise de conscience, elle, bien réelle.
- 53 % des entreprises françaises ont signalé au moins une attaque en 2022 (+1 point), un taux identique à la moyenne internationale. La part d’entreprises touchées progresse pour la 3e année consécutive.
- Si 70 % des entreprises de plus de 1 000 salariés ont été touchées par une cyberattaque l’an passé (vs 62 % l’année précédente), l’exposition des petites structures se généralise : 36 % des entreprises de moins de 10 salariés ont été touchées par au moins une attaque, une progression de 50 % en 3 ans.
- En France, comme au niveau mondial, le coût médian des cyberattaques sur une année est de 15 000 €, en léger recul par rapport à l’année précédente. Mais de lourdes pertes sont toujours possibles : dans le monde, 1 entreprise attaquée sur 8 (12 %) a enregistré des coûts supérieurs à 235 000 €, 8 entreprises ont rapporté des cyberattaques supérieures à 5 millions d’euros contre 4 l’année précédente. A l’échelle française, 39 % des entreprises signalent des pertes totales supérieures à 23 000 €.
- Les cyberassurances se généralisent : au niveau mondial, trois quart des entreprises attaquées disposaient d’une forme de couverture. En France, 57 % des entreprises disent être équipées d’une assurance cyber (24 % avec une assurance dédiée, 33 % dans le cadre d’un contrat plus large), 13 % seulement des entreprises françaises disent ne pas avoir ou ne pas prévoir de s’équiper d’une assurance cyber (vs 14 % l’année dernière, 18% dans le rapport 2021).
- Le coût médian des dépenses de cybersécurité a progressé de 39 % sur les trois dernières années pour atteindre 140 000 €. Dans les entreprises de moins de dix salariés, il a quadruplé en deux ans. En France, la cybersécurité représente toujours 22 % des dépenses de l’IT (stable par rapport à l’année dernière), contre 23 % pour la moyenne des pays sondés. Cette préparation produit ses effets : 45 % des grandes entreprises qui affirment que leur exposition au risque cyber a diminué l’expliquent par une augmentation des budgets et meilleures solutions de protection, contre 36 % l’an passé. Passée au crible du modèle d’évaluation d’Hiscox, la grande majorité des entreprises juge avoir un niveau de maturité cyber intermédiaire. 28 % des entreprises de moins de 49 employés, 21 % des entreprises de 50 à 249 employés, 17 % des entreprises de plus de 250 employés se définissent comme cyber expertes.
- Quatre secteurs ont enregistré des coûts moyens supérieurs à 18 800 € : l’industrie, l’énergie, le transport et la distribution, les administrations et organismes à but non lucratif. Cette dernière catégorie connaît un bond du coût des cyber-attaques avec une augmentation de 83 %. L’évolution est aussi importante, dans une moindre mesure pour le transport et la distribution (+ 28 %).
- La fraude est désormais la menace n°1 – Un tiers des entreprises attaquées (34 %) et 41 % des entreprises françaises ont subi des pertes financières à la suite d’un détournement de paiement. Si cette approche est moins lucrative, elle demande aussi moins de compétences techniques. Elle devance nettement le mésusage des ressources IT (25 %, – 4 points) et l’infection par des virus (24 %, – 1 point). En France, les serveurs maison (34 %, – 2 points) et le piratage des adresses e-mail professionnelles (32 %, – 8 points) sont les principaux points d’entrée, devant les serveurs cloud d’entreprise (27 %, – 13 points) et les erreurs d’employés face à des techniques comme le phishing ou l’ingénierie sociale (22 %, + 2 points).
- A l’échelle internationale, le risque cyber n’est plus identifié comme menace n°1 que dans 5 pays sur 8, contre 7 l’an dernier, l’attention se déportant sur les incertitudes économiques. En France, la confiance apparaît en léger recul : 61 % des entreprises se disent confiantes dans leurs technologies IT pour les protéger contre les cyber-incidents, contre 66 % l’année précédente, 60 % se disent confiantes dans leur préparation face au risque cyber contre 67 % en 2022. 69 % ont conscience de l’importance du dommage potentiel pour leur activité, leurs clients et partenaires en cas d’attaque mal gérée.