En 2023, 53 % des entreprises ont subi une cyberattaque, soit une augmentation de 5 points par rapport à l'année précédente. Piratages massifs, demandes de rançons, vols de données... Ces attaques peuvent engendrer une interruption de l'activité, des fuites de données, des pertes financières conséquentes, etc. Moins protégées, les TPE et PME sont de plus en plus touchées et deviennent des cibles privilégiées.
Les petites et moyennes entreprises manquent souvent de sensibilisation aux enjeux de la cybersécurité. Cette thématique est fréquemment perçue comme trop abstraite, technique et onéreuse pour être abordée. Par conséquent, peu d'entre elles ont mis en place des mesures préventives adéquates. “Ainsi, si neuf entreprises françaises sur dix estiment qu’il est essentiel de se prémunir contre les attaques informatiques, une TPE-PME sur deux ne sécurise pas ses postes de travail et une sur trois n’utilise même pas d’antivirus.” Source : étude IFOP / F-Secure, 2021
« Les plus petites entreprises sont les principales victimes des cyberattaques en France, avec 60 % des attaques les ciblant ».
Rapport de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), 2023.
De nombreux dirigeants de PME surestiment leur efficacité en matière de cybersécurité pour leur entreprise. Une étude menée par Sharp auprès de 5 770 décideurs informatiques de PME dans 11 pays européens montre un décalage entre la préparation des entreprises aux risques cyber et le niveau de menace réel. 79 % des petites entreprises en Europe se sentent bien préparées à faire face aux menaces de sécurité informatique. Cette confiance excessive contraste avec la réalité des attaques.
Les conséquences peuvent être désastreuses
Outre la perte immédiate de données et d'argent, les entreprises touchées subissent souvent des arrêts d'activité prolongés. En moyenne, une TPE met 26 jours pour retrouver un niveau normal d'activité après une attaque. Les frais de reconstitution des systèmes, les pertes d'exploitation et les coûts de gestion de crise peuvent rapidement s'accumuler, mettant en péril la survie même de l'entreprise. Une étude de Soteria Lab montre que 71 % des PME victimes de cyberattaques ne s'en remettent pas. Le secteur de la santé, particulièrement vulnérable, a vu les attaques augmenter de 38 % depuis 2022 (Ibid.)
Le coût moyen d'une violation de données pour une PME s'est élevé à 130 000 € en 2023 et 41 % des PME sont incapables de récupérer leurs données après une attaque.
Source : https://www.ellisphere.com/cybersecurite-en-entreprise-bilan-2023-et-tendances-2024/
Les bons réflexes ?
Voici les 12 recommandations de l’ANSSI aux professionnels
Source : Francenum.gouv
Que faire en cas d'attaque ?*
- Contactez en priorité la plateforme Cybermalveillance.gouv.fr. Ce service gouvernemental propose un accompagnement personnalisé et des conseils adaptés aux entreprises victimes de cyberattaques.
- Déposez plainte auprès de la police ou de la gendarmerie.
- En cas de cyberattaque avec fuite de données à caractère personnel, une déclaration à la CNIL est obligatoire.
- En cas d'incident grave, contactez l'Agence nationale de la sécurité des systèmes d'information (ANSSI) via leur site cyber.gouv.fr.
- Enfin, si vous êtes un professionnel de santé, il vous est recommandé d'informer l'ARS (Agence Régionale de Santé), le CERT Santé (Centre d'Expertise et de Réponse aux Incidents Cyber en Santé) pour les établissements de santé, et l'ANS en Santé (Agence du Numérique) en fonction de votre situation.
(*Recommandations de l'ANSSI)