Articles

 

 

Cybersécurité : Les 11 statistiques que toutes PME devraient connaître.

 

 

Dans un monde où la donnée est de plus en plus importante et qui favorise les échanges sans frontière entre les entreprises elles-mêmes, les collectivités et les particuliers, les risques de cyber-sécurité sont amplifiés mettant en danger toutes les PME.

Dans cet environnement, les clients accordent leur confiance à une entreprise, en ayant l'assurance que leurs informations sont bien protégées. L’idée largement partagée est que les cyberattaques ne toucheront pas mon entreprise… « Je suis passé sous Cloud… tout va bien.  Je suis mieux sécurisé maintenant qu’il y a 3 ans…. ». La réalité est malheureusement différente.

Je vous propose ci-dessous quelques statiques à connaître pour les chefs d’entreprise.

 

1. Les PME les plus impactés par les cyberattaques.

 

Près de 60 % des victimes d'attaques de logiciels malveillants (malware) sont des petites et moyennes entreprises. En effet, ces entreprises sont souvent plus vulnérables que les grandes entreprises, qui possèdent davantage de ressources pour protéger leur système d’information et leurs données personnelles. Il est plus facile pour un pirate informatique de cibler une entreprise réalisant du e-commerce, un cabinet d’expert-comptable ou un cabinet d’avocats traitant un volume important de données, que de s’attaquer à une grande entreprise du CAC 40 qui a lourdement investi dans la sécurisation de son système d’information.

Rien qu’en France, la plateforme www.cybermalveillance.gouv.fr recense en moyenne 4000 victimes par mois.

 

2. Le coût financier moyen pour une PME d’une cyberattaque estimé entre 250 K€ et 500K€.

 

Pour les TPE et PME, cela peut représenter un énorme coût financier difficilement surmontable. Ces chiffres sont issus d’une étude menée par CISCO en 2018 sur le segment des PME (CISCO cybersecurity special report) sur le marché américain qui précise que pour 54 % des PME victimes d'une cyber intrusion, la perte était > à 500 k€. Ces chiffres varient en fonction de la zone géographique, de la taille de l’entreprise, du secteur d’activité, de la capacité à redémarrer rapidement son activité, des fuites de données éventuelles et leurs conséquences.

 

PME : Coûts directs

  • Interventions technique pour la restauration du service
  • Notification client de l’intrusion (RGPD)
  • Sécurisation des données client post-incident
  • Relations publiques
  • Amélioration des dispositifs de cybersécurité
  • Éventuels honoraires d’avocat et frais de justice

 

PME : Coûts indirects

  • Coûts liés à la perte de données
  • Impacts liés à la perturbation ou l’interruption des activités
  • Erosion du chiffre d’affaires liée à la perte de contrats client
  • Dépréciation de la valeur de marque
  • Perte de propriété intellectuelle
  • Perte de la confiance accordée par le client

Important: Ces coûts financiers ne sont généralement pas couverts par les contrats d’assurance traditionnels.

 

3. Le RGPD a renchéri les coûts financiers liés à la violation des données personnelles.

 

Dans le cadre du RGPD (Règlement Général sur la Protection des Données) les entreprises doivent assurer la sécurité des données qui leur sont confiées (en tant que responsable de traitement ou sous-traitant). La coresponsabilité demeure la règle à prendre en compte en cas de violation des données personnelles.

Il n’est plus question de cacher la violation de son système d’information…. Le RGPD oblige de déclarer à la CNIL toute violation des données stockées ou traitées dans les 72 heures avec les conséquences financières évoquées ci-dessus (frais de notification, mise en conformité, frais d’avocat, sanction administrative pouvant atteindre 4 % du CA mondial …).

 

4. 60% des petites entreprises cessent leurs activités dans les 6 mois suivant une cyberattaque

 

Malheureusement, ces attaques peuvent même être fatales. Près des deux tiers des petites entreprises qui subissent une atteinte à la sécurité fermeront leurs portes en moins d'un an, en raison des coûts élevés qu'elles encourent

 

5. Le facteur humain : le maillon faible du système informatique des entreprises

 

Les cyberattaques les plus dangereuses auxquelles sont aujourd’hui exposées les entreprises exploitent le facteur humain. Le salon FIC (Forum International de la Cybersécurité) qui s’est tenu à Lille en janvier dernier a notamment rappelé que 70% des problèmes de sécurité impliquaient directement les employés. Dans 90 % des cas, ces attaques commençaient par l’ouverture d’un email. Deux scénarios principaux sont possibles : soit les personnes sont manipulées par phishing et communiquent des informations sensibles aux pirates, soit elles ouvrent une pièce jointe infectée qui installe un cheval de troie sur leur système. Les entreprises peuvent également être exposées à ce type d’attaques par les réseaux sociaux.

 

6. Le mail, responsable de 50% des attaques de logiciels malveillants

 

Nous avons tous appris à nous méfier des « pourriels » il y a des décennies, et nos soupçons ont été confirmés. Les logiciels malveillants sont plus susceptibles d'être transmis aux entreprises par courrier électronique, sous la forme de pièces jointes. Rappelez-vous qu'il vaut mieux garder un peu de scepticisme lorsque vous ouvrez des courriels que d'introduire des programmes malveillants dans vos systèmes informatiques

L'hameçonnage est le mode d’attaque le plus fréquemment rencontré, les cybercriminels utilisant de nouvelles méthodes afin de tromper la vigilance des entreprises.

Les infections viennent des serveurs de PME directement accessibles sur internet, sans autre protection qu’un mot de passe. Les pirates ont des robots qui scannent le web en permanence et testent les serveurs de façon automatisée.

 

7. Les logiciels malveillants ciblant les mobiles ont augmenté de 54 % en 2018

 

Les cyberattaques ne concernent pas seulement les ordinateurs. Le smartphone, qui contient toujours plus d’information sensibles, est un point d’accès particulièrement sensible au système d’information de l’entreprise, auquel les collaborateurs sont connectés en permanence. Une vulnérabilité à plus d’un titre car, au-delà des menaces « informatiques », les mobiles sont susceptibles d’être volés ou perdus. Au regard du RGPD, il est essentiel de traiter la question de la sécurisation de la mobilité d’entreprise !

 

8. 99,9 % des logiciels malveillants mobiles se trouvent dans les boutiques d'applications tierces

 

Les applications mobiles malveillantes sont en hausse comme nous venons de le voir, et on les trouve en grande partie dans les boutiques d'applications tierces. Parce qu'il est difficile de savoir quelles applications sont porteuses de logiciels malveillants, votre meilleur choix est de télécharger des applications à partir de magasins réputés seulement comme l’AppleStore ou Google Play.

 

9. Seulement 38 % des petites entreprises mettent régulièrement à jour leurs logiciels de sécurité

 

Bien que les cyberattaques puissent être dangereuses et même entraîner la faillite d'entreprises, de nombreuses petites entreprises ne parviennent toujours pas à maîtriser leurs mesures de sécurité. En mettant régulièrement à jour les logiciels de protection et en se tenant au courant des nouvelles tendances de la cybercriminalité, les entreprises peuvent prévenir les catastrophes.

 

10. Les données personnelles de santé sont les plus recherchées par les cybercriminels

 

En raison des nombreux renseignements personnels qu'ils contiennent, les établissements de santé sont les plus à risque face à hackers bien organisés. Plus de la moitié des attaques par ransomware ont visé des établissements de santé dans le monde avec à la fois un impact direct sur la sécurité des soins et un impact économique. L’exemple le plus récent en France concerne un groupe privé et ses 120 centres hospitaliers qui ont été privés de messagerie et d’application métiers,  pendant une dizaine de jours, suite à une attaque informatique survenue le 10 Août 2019 

Les laboratoires de biologie médicales restent également une cible privilégiée au regard du nombre important de données stockées vs niveaux de protection engagés.

Les secteurs des finances, les sous-traitants travaillant pour de grandes entreprises suivent de près cette liste de secteurs d’activité très ciblés.

 

11. La sécurité représentent moins de 5 % des dépenses IT de l’entreprise.

 

Certaines entreprises persistent à privilégier la productivité au détriment de la sécurité ou pensent n’avoir jamais subi ou à subir de cyberattaques. Pourtant, les entreprises à n’avoir jamais été attaquées restent une denrée rare au regard des chiffres du Cesin, indiquant qu’en 2017, 9 entreprises sur 10 ont été frappées par une attaque informatique.

 

En conclusion

 

Le numérique est partie intégrante du modèle de production de toutes entreprises avec des échanges toujours plus importants ce qui augmente la surface de vulnérabilité des données de l’entreprise. Ces chiffrent montrent que les cyberattaques constituent une menace croissante pour les entreprises de toutes tailles et plus particulièrement les PME. Il est donc indispensable de bien connaître son système d’information, ces points forts et ces faiblesses afin de prendre les bonnes décisions et actions qui passent par l’application de bonnes pratiques.

La protection des données de l’entreprise est indispensable pour garder la confiances de ces clients et partners.

 

Je vous propose de faire un premier diagnostique gratuit et sans aucun engagement qui vous permettra de connaître la situation de votre entreprise. Nous pourrons en discuter pas le suite si vous le souhaitez.

 

Merci d'avoir pris le temps de lire cet article.

A bientôt

 

Pascal Baratoux

CEO Innovalead

 

Pour aller plus loin: