Marsh, société active dans le domaine du courtage d’assurances et la gestion de risques, publie les résultats d’une étude paneuropéenne sur les cyber-risques.
Au total, 706 entreprises, opérant dans 16 pays, ont participé à l’enquête. Parmi elles, 38 belges. Profil: en majorité des sociétés de plus de 250 personnes, réparties essentiellement dans les secteurs industrie (23%), finances (17%) et distribution (17%).
Quelles conclusions en tire Marsh (sur un panel certes restreint et pas forcément représentatif du marché belge)? Une image contrastée. Comment expliquer autrement cette conclusion selon laquelle les “entreprises belges font mieux que leurs homologues européennes en termes de sensibilisation, de stratégie de gestion de risques et d’assurance contre les cyber-risques” alors que, dans le même temps, la même étude conclut qu’elles doivent encore faire de “sérieux progrès en termes d’identification des cyber-menaces”?
Cet article est réservé à nos abonnés Select et Premium.
Elles gèrent mieux, prennent de meilleures dispositions mais identifient encore mal?
Voilà comment les responsables de Marsh justifient leur vision des choses.
En fait, les sociétés belges auraient davantage pris conscience des risques que certaines de leurs homologues. A moins qu’il ne s’agisse de crainte pure et simple. Voir encadré ci-dessous.
Les sociétés belges sont moitié moins nombreuses que la moyenne européenne à ne pas avoir conscience de l’existence de cyber-risques. 66% affirment avoir des notions “de base” en la matière. Il reste donc une belle marge de progression en termes de compréhension et maîtrise réelles.
D’autant plus, souligne Véronique Franken, responsable du département “Financial & Professional Risks” chez Marsh BeLux, que “pas moins de 71% des sociétés interrogées considèrent que les cyber-risques sont un sujet qui relève exclusivement du département IT.” C’est évidemment se voiler la face: éviter les cyber-risques, y parer, doit être l’affaire de tous les départements et employés… “Les sociétés sont encore trop nombreuses à s’imaginer être à l’abri des pirates si elles s’appuient sur les bonnes technologies”, ajoute Véronique Franken.
Un autre chiffre est – douloureusement – éloquent à cet égard: seulement 6% des sociétés belges interrogées impliquent la direction dans la gestion de cette problématique. Mieux armées, plus “avancées” que leurs collègues, les belges, réellement? En fait, certains pays font nettement mieux. Pointons notamment les Pays-Bas (15% des directions impliquées), l’Allemagne (17%), le Royaume-Uni (19%), la France (39%).
Comme le souligne d’ailleurs le rapport de Marsh, “le manque de supervision des cyber-risques par les directions est sans nul doute l’une des raisons pour lesquelles les entreprises européennes sont encore si nombreuses à ne pas avoir identifier un ou plusieurs scénarios de cyber-menaces ou procéder à une estimation de l’impact financier qu’elles pourraient avoir.” Voir ci-dessous.
38% des sociétés belges interrogées avouent voir été la cible de cyber-attaques au cours des 12 mois écoulés. La moyenne européenne est de 50%. Alors, plus chanceuses, moins visées, les sociétés belges? Ou moins enclines à avouer les faits?
La prise de conscience des cyber-menaces varie par ailleurs d’un secteur à l’autre. Si le secteur de la distribution et les institutions financières ne se voilent pas la face (il faut dire qu’elles sont une cible “privilégiée”), d’autres acteurs doivent encore sortir de leur léthargie. Notamment celui des soins de santé, où 67% des acteurs interrogés (mais rappelons que l’échantillon est fort limité) disent ne pas encore avoir identifié de cyber-risque majeur. Ce qui, à nouveau, nous amène à relever une autre contradiction.
Le secteur des soins de santé, en effet, est loin d’être épargné. La preuve? 67% des acteurs de ce secteur disent avoir été victimes, l’année dernière, d’une cyber-attaque, soit un peu moins que dans le secteur financier (70%) mais plus que dans la distribution (50%).
Le singe qui ne veut pas voir
Perte financière potentielle estimée d’une cyber-attaque: de 1 à 5 millions d’euros, voire plus. C’est en tout cas l’estimation que font les entreprises qui ont simulé la chose. Costaud. Mais, pour rappel, la majorité des sociétés ayant participé à l’étude sont de grandes entreprises, évoluant dans des secteurs brassant beaucoup d’argent et où l’effet d’une attaque peut avoir de lourdes conséquences.
Dans ce registre, l’étude de Marsh procure une autre indication étonnante: seules 45% des sociétés belges participantes ont tenté un exercice d’évaluation de l’impact financier qu’aurait une cyber-attaque (en Europe, elles sont en moyenne 68% à avoir évalué cet impact). 56% disent par ailleurs ne pas avoir de solution immédiate sous la main pour rétablir la situation financière.
Dernier chiffre: en matière d’assurances contre les cyber-risques (là où Marsh octroyait une autre bonne note aux sociétés belges), la situation n’est pas très reluisante. Seulement 18% ont contracté une assurance. Mais, à leur décharge, on sait qu’elles ne courent pas les rues et que les assureurs, eux-mêmes, ne se pressent pas au portillon pour couvrir ce genre de risques… Ou les polices proposées ne correspondent pas aux attentes. 46% disent ne pas avoir l’intention de contracter une assurance dans ce domaine à l’avenir, 31% tenant à préciser qu’une assurance n’est en effet qu’une partie de la solution (éventuelle). Et ce pourcentage de 31% explose littéralement jusqu’à atteindre les 83% dans le secteur des services financiers. Bien placé, en principe, pour juger de la chose…
Découvrez-nous sur Facebook
Suivez-nous sur Twitter
Retrouvez-nous sur LinkedIn
Régional-IT est affilié au portail d’infos Tribu Médias.