52 % des entreprises françaises considèrent désormais que les cyberattaques constituent la première menace contre leurs activités. La pandémie Covid-19 est seulement deuxième (46 %) et les pertes dues aux aléas économiques troisième (45 %). C'est là le premier enseignement de la sixième édition de l'étude barométrique de l'assureur spécialisé en cyber-risques Hiscox. Il est vrai que les entreprises admettent, au fil de l'étude, l'étendue effective de la menace. 24 % avouent avoir eu leur solvabilité financière affectée par une cyber-attaque. En termes de cybersécurité, 5 % des entreprises se déclarent expertes, 25 % novices. 61 % des entreprises se disent assurées contre les cyber-risques, soit dans le cadre d'une assurance plus globale (37 %), soit par le biais d'une assurance dédiée (24 %).
Au cours des douze derniers mois, 52 % des entreprises françaises ont été victimes d'une cyber-attaque (+3 points par rapport à l'édition précédente). La France est deuxième au palmarès européen, derrière les Pays-Bas (57 %), devant le Royaume-Uni (42 %) et l'Allemagne (46 %). Le coût médian d'une attaque reste à peu près stable : 19 570 euros en 2020 contre 18 645 aujourd'hui. Le nombre moyen d'attaques est en forte hausse, avec une grande hétérogénéité par secteur ou taille d'entreprise, seul le secteur de l'énergie connaissant une baisse. Le trio de tête est constitué des secteur du tourisme (61 % des entreprises déclarent au moins une attaque), des services (58 %) et du commerce (56 %).
Des risques et des points d'entrée très variables
La nature effective du risque est aussi relativement variable. Le détournement de paiement est ainsi en tête (41 % des entreprises sinistrées en France), devant le DDoS (30 % des entreprises), l'utilisation abusive de ressources informatiques (29 %), la diffusion de virus informatiques (25 %), les ransomwares (seulement en cinquième position avec 19 %) et enfin les destructions de données sans chiffrement (18 %). 43 % des entreprises citent le nombre important d'employés en télétravail comme facteur d'aggravation du risque cyber, devant l'usage du BYOD (33%) et l'augmentation de la pression des cyber-attaquants (33%). Autre facteur de risque, le non-respect des consignes par les collaborateurs est ensuite cité par 21 % des répondants.
Quels sont les facteurs d'attaque qui permettent aux pirates d'entrer dans le SI de l'entreprise ? Pour les ransomwares, le phishing (65 %) devance le vol d'identifiants (37 %). Mais d'une manière générale, ce sont bien les e-mails professionnels compromis (40%) qui sont en tête, devant les vulnérabilités des serveurs cloud d'entreprise (40 %, + 15 pts), les vulnérabilité des serveurs on premise (36 %), les services d'accès à distance et les VPN (33 %), les attaques par déni de service (29 %) et enfin les appareils personnels des collaborateurs utilisés à des fins professionnelles (BYOD, 24 %).