Selon une étude IFOP pour Kaspersky Lab et Euler Hermes, six mois après sa mise en application, 45% des décideurs au sein de PME reconnaissent que leur entreprise n’a pas renforcé ses mesures de sécurité.
Cette part s’élève à 52% lorsqu’il s’agit de PME comptant entre 150 et 249 employés. Cela est d’autant plus inquiétant que 21% des PME ont été victimes d’une cyber-attaque au cours des 12 derniers mois, particulièrement dans le Sud-Est (18%). Un paradoxe qui démontre que les compétences numériques des PME sont insuffisantes face aux nouveaux enjeux de l’économie numérique.
Les PME doivent encore adresser les problématiques de mise en conformité avant de pouvoir espérer tirer des bénéfices économiques du RGPD, ce qui n’est pas chose aisée. En effet, malgré les nouvelles contraintes réglementaires, 77% des PME n’ont pas réalisé d’audit informatique en 2018. Un chiffre inquiétant qui atteint 82% dans le secteur des services qui, pourtant, est celui qui traite le plus de données personnelles clients (48% contre 43% en moyenne).
Il n’y a donc rien de surprenant à ce que 20% des répondants ne sachent toujours pas si leur entreprise traite des données personnelles ! Le secteur industriel est le plus en retard sur cette question (28%).
Alors que la Région Normandie vient de signer une charte pour la cybersécurité des entreprises et que l’Université Bretagne-Sud a renforcé en 2018 son programme d’enseignement liés à ce domaine, la conscience de la sécurité informatique varie selon les régions.
Les PME du Nord-Ouest sont celles qui se considèrent le plus technologiquement matures (à 50%). Elles sont 52% à considérer l’amélioration de leur cybersécurité comme une priorité, mais n’ont pas encore de plan prévu pour 2019. Dans le cas d’une cyber attaque, ce sont celles qui craindraient le plus la divulgation d’informations confidentielles (à 73%).
Les PME du Nord-Est sont celles pour qui la cybersécurité est le plus un sujet d’inquiétude (à 67%). A contrario, un tiers des PME du Sud-Ouest ne voient pas l’amélioration de leur sécurité informatique comme une priorité.
Les PME d’Ile-de-France sont quant à elles 64% à avoir amélioré leurs mesures de sécurité depuis la mise en application du RGPD. Ce sont aussi celles qui forment le plus leurs salariés aux questions de cybersécurité (à 48%).
« Pour la survie d’une PME, la cybersécurité est essentielle, car les menaces sont omniprésentes : faux sites Web, logiciels malveillants, rançongiciels, réseaux et bornes Wi-Fi non sécurisés, voire équipements professionnels perdus ou volés, d’autant plus avec le développement du Bring Your Own Device (BYOD) au sein des entreprises. Mettant l’accent sur leur développement et sur leurs occupations quotidiennes, les PME n’accordent pas toujours la priorité à la prévention de ces attaques. Pourtant, un seul incident peut entraîner d’énormes coûts financiers, mais aussi la perte de confiance des partenaires et des clients, si ce n’est signer la fin de son activité, dans le cas où ses opérations seraient perturbées ou arrêtées, » commente Tanguy de Coatpont, de chez Kaspersky Lab.
Le paradoxe de la cybersécurité
Malgré les retards en matière de sécurité et de protection des données personnelles, 76% des entreprises consultées reconnaissent que la sécurité informatique est un réel sujet d’inquiétude.
Mais l’inquiétude n’empêche pas les décisionnaires de percevoir les bénéfices qu’ils peuvent retirer à améliorer la protection de leur entreprise.
Interrogés sur les technologies qu’ils identifiaient comme porteuses d’opportunités au cours des deux prochaines années, les répondants placent la cybersécurité en 2e position (39%). Elle arrive derrière le Big Data et l’analyse des données (47%), mais loin devant l’intelligence artificielle (29%), l’automatisation (29%) et même le Cloud Computing (30%).
Malgré ces résultats encourageants, et bien que 64% des PME fassent de l’amélioration de la cybersécurité une priorité, seules 19% d’entre elles peuvent d’ores et déjà affirmer que des investissements sont prévus.
La vulnérabilité technologique va de pair avec la vulnérabilité juridique et humaine. Elles sont moins d’une sur deux à être assurée (43%) et seulement 51% à former leurs employés.
Ce décalage peut s’expliquer par le fait que la définition des politiques de sécurité au sein des PME est la responsabilité conjointe de plusieurs équipes, ce qui peut ralentir le processus de prise de décision. Pour 61% des répondants, l’équipe informatique est impliquée, puis vient l’équipe dirigeante (45%) et enfin une équipe de sécurité dédiée (23%). Malgré un manque de compétentes informatiques reconnu dans les petites et moyennes entreprises, seules 9% invitent des partenaires extérieures à participer.
Les PME, aussi exposées que les grands groupes par les cyber-menaces
En octobre 2018, le secrétaire d’Etat au numérique Mounir Mahjoubi a annoncé un plan à destination de 2 millions de TPE/PME afin de diffuser les bonnes pratiques en matière de sécurité informatique. Cette annonce est intervenue quelques mois seulement après le lancement de la plateforme cybermalveillance.gouv.fr, également destinée à la sensibilisation des publics vulnérables, dont les PME.
Malgré ces efforts, moins de 50% des décisionnaires au sein des petites et moyennes entreprises sont informés des efforts de sensibilisation et de protection mis en place par les organisations officielles (CNIL, ANSSI, gouvernement, etc.).
Cette situation est regrettable car les PME sont devenues une cible prioritaire pour les cyber-criminels. Au cours des 12 derniers mois, 21% d’entre elles ont été victimes d’une cyber-attaque. La plupart du temps, le coût de ces attaques ne dépasse pas les 10 000 €(64%), bien qu’il soit parfois beaucoup plus élevé. 14% des répondants admettent que les attaques leur ont coûté plus de 51 000 €, et même plus de 100 000 € pour 6% d’entre eux.
Les 5 risques informatiques qui inquiètent le plus les responsables sont :
o Les e-mails frauduleux (52%),
o Le piratage de données (51%),
o Les malwares (41%),
o La perte ou le vol de matériel informatique (26%)
o La fraude / malversation / escroquerie (24%).
Si les risques sont multiples et variés, leurs conséquences le sont tout autant. Suite à une attaque ou une fuite de données, les dirigeants sont particulièrement préoccupés par :
o La divulgation d’informations confidentielles (63%),
o L’impact négatif sur la réputation de l’entreprise (38%),
o Les pertes d’exploitation / de chiffre d’affaires (30%),
o Les pertes financières directes (28%)
o La cyber extorsion (17%).
« Trois conséquences du top 5 font directement référence à un impact financier. Les PME françaises ont compris que leur trésorerie est en première ligne, mais prennent-elles les dispositions nécessaires pour se protéger ? La perte financière liée à une fraude ou une cyber-attaque est assurable, ce qui signifie que les entreprises n’ont pas à en supporter le préjudice. Pourtant, le choix de l’assurance reste minoritaire : moins d’une PME sur deux est assurée contre ces risques. Les PME sont conscientes de leur exposition, mais pas des moyens qui existent pour la réduire », explique Sébastien Hager, de chez Euler Hermes France.
Révélateur du manque de sensibilisation des PME aux évolutions réglementations et les obligations qui les accompagnent, seuls 9% des répondants craignent le versement d’une ou plusieurs amendes. Le risque est pourtant bien réel, lorsque l’on sait qu’en 2018, la CNIL a enregistré près de 10 000 plaintes (dont 6 000 depuis le 25 mai et la mise en application du RGPD), soit 35% de plus qu’en 2017.
Etude IFOP pour Kaspersky Lab réalisée en ligne auprès d’un panel de 702 décideurs de PME en France, du 5 au 9 novembre 2018
Crédit photo : DR
[cc] Breizh-info.com, 2018, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine
Une réponse à “RGPD. La moitié des PME françaises n’ont pas encore renforcé leurs mesures de sécurité numérique”
[…] RGPD. La moitié des PME françaises n’ont pas encore renforcé leurs mesures de sécurité nu… Breizh Info […]