Stratégie

54% des cyberattaques dans les ETI viennent de l'interne

54% des cyberattaques dans les ETI viennent de l'interne
Pierre Bessé, Président du cabinet d'assurances éponyme, met en garde les dirigeants d'ETI sur l'importance du risque cyber (photo Bessé).

Les dirigeants d'ETI sous-estiment le risque cyber et son origine interne selon l'étude réalisée par PwC et Bessé.

PublicitéSi les grandes entreprises sont fortement sensibilisées aux risques cyber, la situation est plus contrastée dans le segment en dessous, les ETI, celles qui regroupent entre 500 et  5 000 collaborateurs. Le cabinet d'études et de conseils PwC et le courtier en assurances Bessé ont mené une enquête sur 432 ETI françaises pour connaître leur perception de ce type de risque. Principale caractéristique, elles estiment qu'il est d'abord d'origine externe, l'étude montre au contraire qu'il est avant tout interne. Seuls 17% des incidents constatés l'an passé sont dus à une cyberattaque externe organisée, 54% des entreprises constatent qu'ils proviennent de salariés actuels ou passés.

Des chiffres significatifs, mais qu'il faut interpréter. Les salariés en cause sont souvent coupables par négligence, par exemple en introduisant des malwares par leurs mauvaises pratiques. Les ETI sous-estiment également la concurrence. Ils pensent spontanément que seuls des cybercriminels peuvent les attaquer. Leur perception du risque est donc déformée et leur stratégie insuffisante. Les dirigeants délèguent à leur DSI ou à des sous-traitants, mais sous-estiment le risque de paralysie pour une activité, une usine, ou pour l'ensemble de l'entreprise.

L'information est faiblement protégée dans les ETI

Les dirigeants des ETI, note l'étude, sont mal préparés à une crise majeure, après une cyberattaque. Seuls 39% d'entre eux ont engagé une politique de sensibilisation de leurs collaborateurs, 19% seulement ont une stratégie de protection de l'information. Les conséquences financières d'une attaque sont mal perçues, l'assurance encore largement ignorée.

Les dirigeants d'ETI sont pourtant informés du risque cyber, 76% de ceux interrogés dans l'étude ont subi un incident de ce type en 2017. Ils restent sensibilisés par l'actualité médiatique qui rend compte des grandes attaques, mais ont du mal à bien distinguer le risque cyber du risque industriel qu'ils connaissent déjà. Selon Pierre Bessé, président du cabinet éponyme, les risques de type industriels sont accidentels, stables et cantonnés, à l'inverse les risques cyber qui sont d'origine malveillante, restent évolutifs et systémiques. S'ils ne les distinguent pas rapidement, les dirigeants d'ETI accentuent la fragilité de leurs entreprises.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    La politique commerciale de VMware a-t-elle redéfini vos priorités en matière de modernisation des infrastructures ?