19% des PME françaises déclarent avoir subi au moins un incident cyber sur l’année 2021, d’après un baromètre publié par la Commission européenne. Elles sont 33% à n’avoir prévenu personne – ni forces de police ni prestataire de service – à la suite de cette attaque. La preuve que beaucoup de chemin reste à parcourir.
La Commission européenne a mené une enquête sur l’impact de la cybercriminalité sur les petites et moyennes entreprises (PME). Les résultats, qui doivent donner une vue d’ensemble aux autorités policières, viennent d’être publiés ce 12 mai. 501 entretiens ont été menés auprès d’entreprises françaises entre le 26 novembre 2021 et le 17 décembre 2021.
Le piratage de comptes bancaires, première menace
Les PME sont les plus susceptibles d’être « très préoccupées » par le piratage ou tentatives de piratage de comptes bancaires en ligne (29%), le phishing, la prise de contrôle de compte ou l’usurpation d’identité (28%), au même niveau que les virus, logiciels espions ou logiciels malveillants (hors ransomware) puis vient l’accès non autorisé à des fichiers ou à des réseaux (23%). Globalement, la moyenne française se situe en dessous de la moyenne européenne. A titre d’exemple, les PME européennes ont répondu à 22% être inquiètes des ransomwares, contre 16% pour les sociétés françaises.
Dans les faits, les PME françaises sont 19% à déclarer avoir été confrontées à au moins un incident cyber (ransomware, phishing, accès non autorisé à des fichiers ou à des réseaux, virus, attaques par déni de service…) durant l’année 2021. Encore une fois, elles se situent en-dessous de la moyenne européenne qui de 28%. Ce qui ne signifie pas automatiquement qu’elles en ont subi moins. Elle les détectent peut être moins bien.
A propos des impacts de ce cyber incident, les PME françaises ont répondu à 33% avoir subi un surcroît de travail nécessaire pour répondre à l’attaque, à 20% l’impossibilité d’utiliser les ressources ou les services et à 20% également l’impossibilité pour les employés d’effectuer leurs tâches quotidiennes.
33% n’ont prévu personne a la suite d’une attaque
Beaucoup plus inquiétant, les entreprises interrogées ont répondu à 33% qu’elles n’avaient prévenu personne à la suite de la détection de l’incident de sécurité (contre 44% pour la moyenne européenne). La preuve qu’il y a encore énormément de chemin à parcourir dans le signalement des attaques. La police et les vendeurs ou prestataires de services interviennent à la deuxième place, avant le fournisseur d’accès internet (FAI).
La majorité des répondants estiment que leurs employés sont assez bien informés aux risques liés à la cybercriminalité. Pourtant, ils sont 88% à n’avoir proposé aucune formation ou sensibilisation aux risques de la cybercriminalité (contre 79% pour la moyenne européenne) durant l’année 2021. Etant des cibles faciles, ce manque de considération doit alarmer dans un contexte d’explosion et de sophistication des attaques informatiques.