A cette occasion, la Grande consultation des entrepreneurs (enquête OpinionWay pour CCI France, La Tribune et Europe 1) a effectué, en partenariat avec cybermalveillance.gouv.fr, un focus sur la perception du risque cybersécurité dans les entreprises, en fonction de leur taille et de leur secteur d'activité. La particularité de ce focus de la Grande Consultation, mené une première fois en octobre 2017, est de mettre en évidence la perception de ce risque par les dirigeants d’entreprises eux-mêmes.

L’ambition du dispositif est de disposer d’éléments barométriques complétés annuellement par des interrogations sur des enjeux plus immédiats. Ainsi aux 2 questions de 2017 s’ajoute en octobre 2018 un item construit avec notre partenaire cybermalveillance.gouv.fr. Il concerne le nombre d’entreprises effectivement victimes de cybermalveillances. Cette estimation est en effet actuellement difficile. Très peu d’entreprises victimes franchissent en effet le cap du dépôt de plainte ou du témoignage public, d’où l’intérêt de l’implication des CCI et de la plateforme cybermalveillance.gouv.fr pour faire remonter les incidents et détecter les nouvelles menaces numériques.

Les premiers chiffres sont tombés. Alors que l’application du RGPD est de mieux en mieux intégrée, le thème de la cyber sécurité ne semble pas être à l’ordre du jour des inquiétudes des dirigeants : 24% d’entre eux déclarent que les risques liés à la cybersécurité de leur entreprise les préoccupent, soit un chiffre en recul de 16 points par rapport à octobre 2017. 76% se disent peu ou pas préoccupés. Néanmoins, si on regarde le détail des réponses des chefs d’entreprise de 10 salariés ou plus, on constate que ces derniers affichent une réelle crainte pour ce type de danger (62% déclarant être préoccupés), alors que les dirigeants de TPE (0 à 9 salariés) se déclarent à 79% peu ou pas préoccupés. La taille de l’entreprise joue donc un rôle considérable sur la perception du risque cyber par son dirigeant.

Parmi les autres explications à cette faible préoccupation, il faut également rappeler que ce sont les dirigeants qui ont été interrogés. On retrouve là un phénomène connu dans le monde de la sensibilisation à la cybersécurité : beaucoup de dirigeants ne se préoccupent du sujet qu’une fois l’entreprise victime ou qu’un incident leur a été remonté. D’autres estiment encore que la cybersécurité relève de la problématique technique et donc du ressort du DSI ou du RSSI (quand il y en a un) davantage que de la gouvernance de l’entreprise. La cybersécurité est loin d’être considérée comme « l’affaire de tous ».

Mais quand on questionne leurs sources d’inquiétude, les principales demeurent le virus qui infecte les ordinateurs (83%, +2 points), loin devant l’usurpation d’identité ou une fraude (23%). L’écart est moindre pour les dirigeants de plus grandes entreprises, 68% mentionnant le virus et 40% l’usurpation d’identité. Le vol de données, craint par 20% des personnes interrogées, est la deuxième menace prise la plus au sérieux par les dirigeants d’entreprise de 10 salariés ou plus (47%). L’enseignement le plus frappant est néanmoins ailleurs : si les dirigeants identifient assez bien les menaces issues de malveillances, celles issues de la négligence des employés sont totalement mésestimées, qu’il s’agisse d’une perte d'informations (3%), d’une mauvaise gestion des données personnelles (2%) ou du phishing (1%). Il reste donc encore à convaincre qu’en matière de cybersécurité, le « maillon faible » n’est bien souvent pas dans l’ordinateur, mais derrière le clavier.

Enfin, si ces menaces inquiètent davantage les chefs d’entreprises plus importantes, c’est aussi parce qu’ils ont été plus souvent victimes d’actes de cybermalveillance : 23% contre 7% parmi les dirigeants d’entreprises de moins de 10 salariés. Une expérience qui dans les grandes entreprises a le plus souvent été réglée en interne (15%) plutôt qu’en faisant appel à un prestataire externe/aux autorités (7%).

Les résultats de cette consultation ne prêtent pas forcément à l’optimisme. Ils pourront être considérés comme à contrecourant d’autres enquêtes réalisées auprès des professionnels ou des prestataires. Ils montrent seulement qu’il reste beaucoup à faire  en matière de pédagogie et de prévention en cybersécurité, et qu’une solution technologique n’apportera jamais de réponse parfaite à une problématique qui reste avant tout humaine. 

Crédits photo : Freepik