Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le groupe EXPONENS - Cyber-sécurité dans les TPE-PME : comment passer de la prise de conscience aux actes ?

septembre 2019 par Exponens

Aujourd’hui, la cyber-sécurité est de plus en plus souvent à la une des journaux et fait l’objet de nombreux rapports tandis que le RGPD a mis un accent accru sur la nécessité de bien gérer et protéger les données personnelles. Les grandes entreprises prennent des mesures de protection et de prévention, forment leurs salariés, … mais qu’en est-il des PME et TPE qui forment l’essentiel du tissu économique français ?

Le cabinet EXPONENS, groupe de cabinets franciliens d’expertise-comptable et de services aux entreprises, a réalisé une enquête auprès de ses 5 000 clients.

Le RGPD, une réglementation pas encore intégrée

Un an après son entrée en vigueur, seuls 25%* des répondants affirment être en conformité avec le RGPD tandis que 27% poursuivent leurs travaux. 10% des répondants n’ont pas encore commencé leurs travaux et 5% déclarent ne pas vouloir le faire.

Plus ennuyeux, 32% des répondants déclarent ne pas savoir où en est leur entreprise, ce qui soulève une question de communication interne sur le RGPD, et plus généralement sur la sensibilité de tous les salariés à la protection des données personnelles.

Cette méconnaissance se confirme en observant que 20% affirment avoir
terminé la cartographie des traitements de données personnelles, soit 5 points de moins que ceux qui affirment être en conformité, alors que ce travail est un préalable indispensable ! 30% sont en train de le faire, 29% n’ont pas commencé et là encore 22% des répondants ne savent pas.

En ce qui concerne le délégué à la protection des données personnelles ou DPO, 40% des entreprises en ont nommé un, plutôt en interne (32%) qu’en externe (8%), 18% prévoient de le faire mais 22% ne prévoient pas de le faire tandis que 20% disent ne pas être concernées, ce qui est effectivement possible.

Intégrer le RGPD, c’est aussi et surtout prendre en compte la protection des données personnelles dans sa manière de fonctionner avec ses salariés, ses clients, ses sous-traitants, … Seules 10% des entreprises ont revu avec un avocat leurs conditions générales de vente, leurs contrats de travail, leurs contrats de sous-traitance, et 16% sont en train de le faire. Mais 73% ne prévoient pas cette démarche. Est-ce parce qu’elles disposent des compétences en interne ou bien plutôt parce qu’elles n’ont pas encore compris que c’était nécessaire ?

Il reste donc bien du chemin à parcourir pour se mettre en conformité et ensuite pour passer de la conformité formelle à une véritable prise en compte de la protection des données personnelles dans sa pratique.
Des entreprises sensibilisées et victimes de la cybercriminalité
Au-delà du RGPD qui fait encore l’actualité, notre questionnaire portait plus généralement sur la cybercriminalité. 89% des TPE et PME qui ont répondu connaissent la problématique de la cybercriminalité et ses conséquences possibles.

Cette connaissance est loin d’être purement théorique puisque 51% des entreprises déclarent avoir subi une ou plusieurs cyberattaques : fraude à l’usurpation d’identité (29%), cybercriminalité (26%), cyberdéstabilisation (11%), cyberespionnage (8%).

Conscientes de ce danger, 75% des entreprises se protègent : d’abord en sensibilisant leurs collaborateurs avec la diffusion d’informations et de bonnes pratiques (39%) et la formation permanente (33%), puis en ayant recours à des moyens techniques tels que les antivirus, les firewalls, les logiciels de cyberdéfense (33%). Troisième levier, malheureusement moins utilisé : le renforcement des procédures de contrôles interne (27%) et l’audit du système d’information (16%).

Signe tangible de cette prise de conscience, 75% des entreprises déclarent désormais intégrer la sécurité informatique à leur prise de décision.
Une gestion du risque cyber loin des standards de la gestion du risque dommages

Pour parer aux conséquences d’une attaque, seulement 35% des entreprises disposent d’un plan de reprise informatique, et 5% y travaillent. 60% n’en ont donc pas et se mettent en risque… alors même que 9% ont déjà subi une attaque !

Seules 8% des entreprises ont simulé une crise informatique avec leurs salariés. Seules 25% ont un avocat à même de les aider à déterminer leurs responsabilités et celles d’autres intervenants en cas de crise informatique. En cas de fuite de données personnelles consécutive à une attaque, 28% peuvent prévenir les personnes concernées dans les 72h, 25% y travaillent, 47% en sont incapables.

La gestion du risque informatique est donc bien loin des niveaux de performance nécessaires et encore très loin de ce que ces mêmes entreprises savent faire pour faire face aux autres types de dommages que peut subir l’entreprise.

L’assurance cyber, la grande absente

Signe tangible du décalage entre le risque cyber et les autres risques dommages que connaît l’entreprise comme l’incendie, le vol, le dégât des eaux, … moins de 4% des répondants ont souscrit un contrat d’assurance contre les risques cyber.

Si 32% prévoient de le faire, 64% n’en voient pas l’intérêt. Ceci montre combien les assureurs et les intermédiaires d’assurance doivent encore convaincre de l’intérêt pratique et financier de cette couverture. Même ceux qui ont souscrit un contrat montrent dans leurs réponses sur les garanties offertes qu’ils ne connaissent pas bien les garanties et les services apportés…
Le marché de l’assurance cyber pour les TPE et PME reste donc encore un marché de conquête, malgré la prise de conscience de la réalité du risque. Gageons que ces couvertures et plus généralement la gestion du risque cyber progressera au fur et à mesure que les grandes entreprises l’imposeront, via leurs contrats de sous-traitance et les exigences posées dans leurs appels d’offres.


Voir les articles précédents

    

Voir les articles suivants