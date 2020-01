Étude européenne « transformation digitale des entreprises et cyber-sécurité » 39 % des grandes entreprises européennes admettent avoir été victimes d’une cyber-attaque

janvier 2020 par RSM - IT & Risk advisory

Toute organisation est aujourd’hui exposée à des problématiques de cyber-criminalité et à des impératifs de protection des données aussi bien de leurs infrastructures, que de clients, de partenaires commerciaux ou de tiers. Dans ce contexte, RSM, 7ème réseau mondial de conseil et audit, en partenariat avec les European Business Awards, publie les résultats d’une enquête sur les impacts de la transformation numérique sur la cyber-sécurité des grandes entreprises européennes*.

Si 80 % des grandes entreprises européennes considèrent la transformation numérique comme une priorité stratégique, 21 % n’ont pas de réelle politique en matière de cyber-sécurité.

39 % admettent avoir déjà été victimes d’une cyber-attaque, même si dans 75 % des cas, celle-ci n’a pas été rendue publique.

Alors que 65 % des entreprises interrogées sont convaincues que la cyber-sécurité est un sujet qui doit être porté par les instances de direction, celui-ci ne figure pas, pour autant, à l’ordre du jour des conseils d’administrations.

62 % des entreprises considèrent que la mise en conformité avec le RGPD a impacté leur politique d’investissements en matière de cyber-sécurité. Mais malgré cela, à peine plus d’une sur deux estiment pouvoir se défendre en cas d’attaque.

Si 44 % des attaques ciblent des collaborateurs par voie de mail, 22 % des entreprises ne proposent pas de formations en lien avec les enjeux de cyber- sécurité à leurs équipes.

1 grande entreprise sur 5 n’a pas de politique stratégique en matière de cyber-sécurité

80 % des grandes entreprises européennes considèrent la transformation numérique comme une priorité stratégique et 29 % ont vu leur chiffre d’affaires augmenter grâce à la celle-ci. C’est pourquoi elles investissent massivement dans ce domaine, aussi bien dans le cloud (73 %) que dans l’automatisation (58 %), l’Internet des Objets (58 %), l’intelligence artificielle (22 %) ou encore le machine learning (20 %).

Or, 21 % des grandes entreprises européennes n’ont pas de politique stratégique en matière de cyber- sécurité, ce qui ignifie qu’1 entreprise européenne sur 5 ne dispose d’aucun moyen coordonné pour lutter contre la cyber-criminalité. Si le RGPD, entré en vigueur en mai 2018, est considéré par les grandes organisations européennes comme le principal facteur les incitant à réfléchir et mettre en place des programmes de cyber-sécurité - 62 % des entreprises considèrent que la mise en conformité avec le RGPD a généré des investissements supplémentaires en matière de cyber-sécurité -, seules 51 % des entreprises considèrent que le RGPD les ont rendues plus capable de résister à une cyber-attaque. Pour autant, plus de 7 entreprises sur 10 estiment être exposées à un risque en matière de cyber-criminalité.

Quant aux entreprises qui ont inclus la problématique de la cyber-sécurité à leur programme d’actions stratégiques, elles manquent de confiance dans leurs capacités à se protéger efficacement, étant convaincues que les pirates informatiques se montreront toujours plus efficaces que les logiciels préventifs : 29 % pensent, en effet, que les actions préventives mises en place ne leur permettrons pas d’empêcher efficacement de futures cyber-attaques.

« Même si les entreprises ne peuvent se prémunir à 100 % contre les risques de cyber-attaques, ne rien faire n’est pas une option. La première étape pour se prémunir consiste à comprendre qu’investir dans des outils et une technologie de sécurité ne permettra pas nécessairement d’éviter une attaque. Ensuite, la mise en place de programmes de formation et de sensibilisation des collaborateurs est une condition nécessaire pour permettre à l’entreprise de surveiller et de détecter les attaques pouvant peser sur sa réputation ou ses finances », commente Jean-Philippe Isemann, associé RSM et responsable du département IT & Risk advisory.

65 % des personnes interrogées sont convaincues que la cyber-sécurité est un sujet qui doit être pris en mains au niveau de la direction

Même si les entreprises sont convaincues la cyber-sécurité est un enjeu de direction, celle-ci n’est abordée en conseil d’administration que dans 54 % des cas. Souvent, le sujet ne devient une priorité pour elles qu’après une cyber-attaque (59 % des cas), soit bien trop tard. Par ailleurs, 20 % des grandes entreprises pensent encore que c’est le responsable informatique qui doit assumer la responsabilité globale de la cyber-sécurité.

« La gestion des cyber-risques doit être appréhendée par le conseil d’administration et c’est encourageant de voir que 60 % des administrateurs conviennent qu’il faudrait inclure plus souvent le sujet à leur ordre du jour. Si nous avons observé une évolution positive ces dernières années, le fait que seulement 38 % des administrateurs considèrent le PDG comme la personne responsable en dernier ressort de la cyber-sécurité au sein de l’organisation est préoccupant. Il est important de rappeler que lorsqu’une atteinte à la protection des données ou une cyber- attaque surviennent, c’est le PDG qui est responsable », ajoute Antoine Baranger, manager RSM - IT & Risk advisory.

Au-delà de la responsabilité du dirigeant, 64 % des entreprises consultées considèrent comme prioritaire le fait de s’assurer que les collaborateurs soient correctement formés pour prévenir les erreurs humaines. En effet, 44 % des attaques ciblent des employés par mail via des attaques de phishing, fraude au président et de ransomware. Or, encore une fois, force est de constater que les grandes entreprises n’ont pas mis en place les actions nécessaires : 22 % ne proposent pas de formation aux problèmes de cyber- sécurité à leurs équipes.

Méthodologie Étude réalisée du 16 avril au 3 juin 2019 auprès des instances de direction des 597 entreprises de 33 pays européens ayant participé aux European Business Awards. 56 % des personnes interrogées font partie du conseil d’administration et 31 % relèvent directement du conseil d’administration de ces entreprises.