Rapport Hiscox sur la gestion des cyber-risques 2023 - 7e édition
Le risque cyber se maintient à un niveau élevé, même pour les petites structures, mais la réponse des entreprises montre des signes encourageants.
Une semaine après la parution par Cybermalveillance.gouv.fr d’une charte nationale des bonnes pratiques de cybersécurité, destinée à soutenir les PME françaises dans la lutte contre les cyberattaques, le rapport Hiscox Cyber readiness 2023 met en évidence l’efficacité d’une bonne préparation des entreprises au risque.
Alors que la menace ne faiblit pas, et n’épargne plus les petites structures, le coût de la sinistralité est stable grâce à une couverture assurantielle qui progresse, des budgets en augmentation et une prise de conscience accrue des dirigeants.
Principaux enseignements du rapport
- Une menace toujours bien réelle – 53% des entreprises françaises ont signalé au moins une attaque en 2022 (+1 point), un taux identique à la moyenne internationale. La part d’entreprises touchées progresse pour la 3e année consécutive.
- Les TPE et PME de plus en plus exposées – Si 70% des entreprises de plus de 1 000 salariés ont été touchées par une cyberattaque l’an passé (vs 62% l’année précédente), l’exposition des petites structures se généralise : 36% des entreprises de moins de 10 salariés ont été touchées par au moins une attaque, une progression de 50% en 3 ans.
- Un coût contenu, mais d’importantes disparités – En France, comme au niveau mondial, le coût médian des cyberattaques sur une année est de 15 000€, en léger recul par rapport l’année précédente. Mais de lourdes pertes sont toujours possibles : dans le monde, 1 entreprise attaquée sur 8 (12%) a enregistré des coûts supérieurs à 235 000€, 8 entreprises ont rapporté des cyberattaques supérieures à 5 M€ contre 4 l’année précédente. A l’échelle française, 39% des entreprises signalent des pertes totales supérieures à 23 000€.
- La facture s’alourdit pour les administrations publiques – Quatre secteurs ont enregistré des coûts moyens supérieurs à 18 800€ : l’industrie, l’énergie, le transport et la distribution, les administrations et organismes à but non lucratif. Cette dernière catégorie connaît un bond du coût des cyber-attaques avec une augmentation de 83%. L’évolution est aussi importante, dans une moindre mesure pour le transport et la distribution (+28 %).
- La fraude est désormais la menace n°1 – Un tiers des entreprises attaquées (34%) et 41% des entreprises françaises ont subi des pertes financières à la suite d’un détournement de paiement. Si cette approche est moins lucrative, elle demande aussi moins de compétences techniques. Elle devance nettement le mésusage des ressources IT (25%, -4 points) et l’infection par des virus (24%, -1 point). En France, les serveurs maison (34%, -2 points) et le piratage des adresses e-mail professionnelles (32%, -8 points) sont les principaux points d’entrée, devant les serveurs cloud d’entreprise (27%, -13 points) et les erreurs d’employés face à des techniques comme le phishing ou l’ingénierie sociale (22%, +2 points).
- Des entreprises mieux assurées… – Les cyberassurances se généralisent : au niveau mondial, trois quarts des entreprises attaquées disposaient d’une forme de couverture. En France, 57% des entreprises disent être équipées d’une assurance cyber (24% avec une assurance dédiée, 33% dans le cadre d’un contrat plus large), 13% seulement des entreprises françaises disent ne pas avoir ou ne pas prévoir de s’équiper d’une assurance cyber (vs 14% l’année dernière, 18% dans le rapport 2021).
- … et mieux préparées – Le coût médian des dépenses de cybersécurité a progressé de 39% sur les trois dernières années pour atteindre 140 000€. Dans les entreprises de moins de dix salariés, il a quadruplé en deux ans. En France, la cybersécurité représente toujours 22% des dépenses de l’IT (stable par rapport à l’année dernière), contre 23% pour la moyenne des pays sondés. Cette préparation produit ses effets : 45% des grandes entreprises qui affirment que leur exposition au risque cyber a diminué l’expliquent par une augmentation des budgets et meilleures solutions de protection, contre 36% l’an passé. Passée au crible du modèle d’évaluation d’Hiscox, la grande majorité des entreprises juge avoir un niveau de maturité cyber intermédiaire. 28% des entreprises de moins de 49 employés, 21% des entreprises de 50 à 249 employés, 17% des entreprises de plus de 250 employés se définissent comme cyber expertes.
- Une confiance en léger recul, mais une prise de conscience réelle – A l’échelle internationale, le risque cyber n’est plus identifiée comme menace n°1 que dans 5 pays sur 8, contre 7 l’an dernier, l’attention se déportant sur les incertitudes économiques. En France, la confiance apparaît en léger recul : 61% des entreprises se disent confiantes dans leurs technologies IT pour les protéger contre les cyber-incidents, contre 66% l’année précédente, 60% se disent confiante dans leur préparation face au risque cyber contre 67% en 2022. 69% ont conscience de l’importance du dommage potentiel pour leur activité, leurs clients et partenaires en cas d’attaque mal gérée.
Benjamin Langlet, Responsable Cyber chez Hiscox France, rappelle : « De manière générale, peu d’entreprises encore s’affirment expertes en matière de cybersécurité. Mais le déficit de confiance dans les capacités cyber demeure plus marqué dans les PME et TPE, qui sont notamment inquiètes de ne pas être en mesure de satisfaire à toutes les exigences d’une bonne protection – à l’image de la mise à jour des correctifs logiciels –, que dans les grandes entreprises. Pour autant, on constate une évolution rapide pour ces petites structures : d’un côté, la prise de conscience des dirigeants s’accompagne d’une augmentation des moyens dédiés, de l’autre les bonnes pratiques cyber se formalisent et il existe désormais sur le marché des offres d’assurance adaptées et accessibles pour ces entreprises. »