La cybersécurité : un enjeu connu des chefs d’entreprise mais encore peu mature.
95% des chefs d’entreprises interrogés déclarent avoir l’impression de bien connaître ce qu’est la cybersécurité, dont 63% qui déclarent savoir précisément ce dont il s’agit. On note toutefois des écarts en terme de connaissance notamment auprès des chefs d’entreprises de la Région Île-de-France (76%, +13 points vs global) ainsi que par les chefs d’entreprises de plus de 20 salariés (83%, +20 points). Ainsi le degré de connaissance de l’enjeu de la cybersécurité varie en fonction notamment de la taille de l’entreprise.
D’ailleurs, seule un tiers des TPE/PME déclare avoir un spécialiste informatique en charge de la cybersécurité dans leur entreprise, signe d’un enjeu encore peu mature. Pour le reste, il s’agit soit du chef d’entreprise directement (41%), soit une autre personne (8%) ou encore pour près d’une PME sur 5, personne n’est spécifiquement dédié à la cybersécurité. La prise en compte de l’enjeu de cybersécurité augmente toutefois avec la taille de l’entreprise : Ainsi, la moitié des entreprises de 20 à 249 salariés ont une personne de l’informatique dédiée.
Une tendance à la minimisation des risques de cyberattaques
Si les chefs d’entreprises sont conscients des risques de cyberattaques qui pèsent sur leur entreprise – et ce d’autant plus de puis la démocratisation du télétravail du fait de la crise sanitaire et de la faible adaptation des moyens informatiques à disposition des entreprises – ils ont tendance à surestimer leur niveau de protection.
Le dernier rapport sur la gestion des cyber-risques mené par l’assureur spécialiste Hiscox constate en effet une recrudescence des attaques, notamment auprès des petites et moyennes entreprises qui sont moins bien protégées. L’étude internationale menée entre novembre 2020 et janvier 2021 avec Forrester Consulting* révèle par ailleurs que la part de TPE/PME de moins de 250 salariés touchées par les cyberattaques s’élevait à 33% au cours des 12 derniers mois.
Au sein de notre enquête, 21% des chefs d’entreprises évaluent la part de TPE/PME ayant déjà été touchées par une cyberattaque à moins de 25%. La majorité (56%) estime plutôt cette proportion – à juste titre – entre 25% et 49%. 18% l’évaluent ensuite entre 50% et 74%, et 5% à hauteur de 75% et plus.
Pour autant, signe d’une légère décorrélation entre l’estimation de la part de TPE/PME concernée et sa propre situation, seulement 25% des chefs d’entreprises estiment que leur entreprise présente un risque élevé d’être touchée par une cyberattaque, dont seulement 3% très élevé. Sans surprise, ceux ayant déjà subi une cyberattaque (une ou plusieurs fois) sont 47% à considérer ce risque élevé. A l’inverse, 75% des chefs d’entreprises considèrent un risque faible, dont 21% un risque « très faible ». Cela concerne même 83% de ceux n’ayant jamais subi de cyberattaque.
Dans la même logique, 80% considèrent leur entreprise bien protégée contre ces risques dont 25% « tout à fait protégée », et la part de ceux qui ne la considèrent « pas du tout » protégée n’est que de 5%.
Dans le détail, les chefs d’entreprises qui considèrent leur niveau de protection au plus bas sont ceux qui déclarent ne pas connaître suffisamment (9% contre 5% au global) ou ne pas connaître du tout (18%) la notion de cybersécurité. 9% des chefs d’entreprise de 10 à 19 salariés et 7% des chefs d’entreprises ayant déjà subi une ou plusieurs cyberattaques se sentent aussi davantage concernés.
Preuve d’une crainte bien fondée de la part de ces catégories de chefs d’entreprises, plus d’1/4 des interrogés (26%) déclarent avoir déjà subi une cyberattaque, dont 7% plusieurs fois. Les entreprises les plus concernées sont celles de plus de 20 salariés (37%, +11 points vs global), celles issues du secteur de l’agriculture et de l’industrie (33%, +7 points), et dans une moindre mesure les entreprises basées en Île-de-France (29%, +3pts).
Si la quasi-unanimité des chefs d’entreprises a recours à différents outils spécifiques pour protéger l’entreprise, une majorité surestime le coût d’une protection efficace.
99% des chefs d’entreprise déclarent avoir recours à au moins un outil spécifique pour protéger son entreprise, et 90% ont recours à au moins 3 outils.
Plus précisément, 97% ont recours à un antivirus, 88% à un pare-feu, 79% mettent en place une sauvegarde de données gérée en interne par leurs équipes, et 60% effectuent une sauvegarde de données externalisée géré par un professionnel. En revanche, seul 1 chef d’entreprise sur 2 a recours à un VPN – dispositif plus complexe et sans doute le plus sécurisant de tous les outils cités en termes de protection des données.
Dans le détail, le recours à ce dernier outil est davantage porté par les chefs d’entreprises de l’Île-de-France (57%, +7 points vs global), par le secteur des services (54%), et surtout par les chefs d’entreprises de plus de 20 salariés (69%, +19 points) – ces trois catégories constituant en effet les cibles privilégiées des cyber-attaques.
Par ailleurs, 56% des chefs d’entreprises évaluent le coût d’une protection efficace contre les cyberattaques à plus de 100€ par mois. Ils sont effet 35% à l’estimer entre 100 et 249€ par mois, puis 14% considèrent un investissement compris entre 250€ et 499€ par mois pour protéger efficacement leur entreprise, et 7% l’évaluent à 500€ par mois ou plus. Or de nombreux outils de protection sur le marché sont disponibles pour moins de 100 € par mois, ce qui témoigne d’une surestimation du coût d’une protection efficace par les chefs d’entreprises.
Il est à souligner qu’en parallèle, selon l’étude Hiscox*, le coût médian d’une cyberattaque était estimé à environ 9 000 euros pour les entreprises de 50 à 250 employés en 2020.
Le sentiment d’être suffisamment accompagné et sensibilisé sur la cybersécurité est majoritaire chez les chefs d’entreprise, mais particulièrement chez ceux qui ne se sentent pas vulnérables
74% des chefs d’entreprises déclarent se sentir suffisamment accompagné et sensibilisé sur le sujet de la cybersécurité, dont 34% « oui, tout à fait ». Or, parmi le quart qui ne se sent pas suffisamment accompagné (dont 7% « pas du tout »), on retrouve les entités les plus fragilisées par ces enjeux, à savoir, les entreprises de moins de 20 salariés (30% des entreprises de 3 à 5 salariés et 31% des entreprises de 10 à 19 salariés contre 26% au global), ou encore les entreprises issues du secteur de l’agriculture et de l’industrie (35%, +9 points). On note par ailleurs que ceux qui se sentent les moins vulnérables sur le sujet (considèrent le risque pour leur entreprise comme étant faible) sont aussi ceux qui se sentent le mieux accompagné (76% vs 70% pour ceux qui estiment le risque élevé). Cela démontre que le fait de se sentir bien accompagné n’est pas seulement fonction du soutien reçu mais également de l’estimation plus ou moins forte du risque encouru.
En parallèle, 61% des chefs d’entreprises déclarent avoir mis en place un programme de sensibilisation à destination des collaborateurs de l’entreprise au sujet de la cybersécurité. Là encore, il existe de fortes disparités entre les chefs d’entreprises de l’Île-de-France (80%) et les chefs d’entreprises des autres régions (56%), entre les chefs d’entreprises de plus de 20 salariés (76%) et ceux d’entreprises de moins de 20 salariés (59%), ou encore entre les chefs d’entreprises issues du secteur des services (66%) et ceux d’entreprises du secteur du BTP-Construction (54%) ou de l’agriculture-industrie (56%).
La cybersécurité constitue donc encore un défi pour les petites entreprises, et notamment pour celles des secteurs d’activité traditionnellement moins bureaucratisés tels que ceux du BTP-Construction ou de l’agriculture et de l’industrie, et appelle à un accompagnement expert et spécifique sur cet enjeu majeur.
* Etude internationale Hiscox réalisée entre novembre 2020 et janvier 2021 en collaboration avec Forrester Consulting, 6 042 professionnels interrogés incluant des cadres, des chefs de service ou encore des responsables informatiques au Royaume-Uni, aux États-Unis, en France, en Allemagne, en Belgique, en Espagne, en Irlande et aux Pays-Bas.