Avec 52 % d’entreprise ayant déclaré au moins une cyberattaque au cours de l’année passée, la France se classe au second rang des pays les plus touchés en Europe, derrière les Pays-Bas (57 %), et devant le Royaume-Uni (42 %) ou l’Allemagne (46 %).

« La menace cyber est désormais largement perçue par les entreprises européennes comme le risque numéro un pour leur activité. Mais il existe un énorme fossé entre celles qui ont effectivement subi une attaque et celles qui n'en ont pas encore subi : plus de la moitié des victimes voit le risque cyber comme une grande menace, contre un peu plus d’un tiers seulement chez les autres. Le travail de sensibilisation doit d’autant plus se poursuivre que la menace continue de progresser plus vite que les budgets dédiés à la cybersécurité, et gagne du terrain auprès des petites structures plus vulnérables. Alors que les grandes organisations améliorent leurs défenses, les petites organisations sont de plus en plus ciblées par les pirates car elles peuvent être atteintes plus facilement », déclare Craig Dunn, Responsable du Cyber, Hiscox Europe.

Parmi les principales conclusions du rapport 2022 :

La menace cyber continue de progresser, notamment auprès des TPE/PME

Le nombre d’entreprises françaises déclarant avoir subi au moins une cyberattaque en 2021 progresse de 3 points par rapport à l’année précédente.

Si le coût médian d’une cyberattaque est relativement stable (18 645 € vs 19 570 en 2020), le risque croît fortement pour les petites et moyennes entreprises : au niveau mondial, les entreprises comptant entre 250 et 999 employés ont vu le nombre moyen d'attaques passer de 45 à 69. Celles qui comptent entre 10 et 49 employés ont subi en moyenne 56 attaques, contre 31 auparavant, et les plus petites, qui comptent moins de 10 employés, ont vu leur nombre d'attaques multiplié par quatre, passant de 11 à 40.

On constate également un élargissement à de nouveaux secteurs d’activités, tels que le tourisme (61 % des entreprises déclarent au moins une attaque), les services (58 %) et le commerce (56 %), alors que les attaques sont en baisse dans le secteur de l’énergie et du transport.

Les fraudes par détournements de paiement, première conséquence des cyberattaques

41 % des entreprises françaises touchées par une cyberattaque font état de pertes financières dues à des détournements de paiement. Celles-ci devancent les attaques par déni de service (DDoS), constatées par 30 % des entreprises, devant l’utilisation abusive de ressources informatiques (29 %) et la diffusion de virus informatiques (25 %). Les ransomwares sont cités en 5e position par 19 % des entreprises victimes de cyberattaques, suivis par la perte de données non-cryptées (18 %).

La prise de conscience du risque et de ses conséquences est en hausse

Les cyberattaques sont désormais perçues par les entreprises françaises comme la 1ère menace pour leur activité (mentionnées par 52 % des sondés), devant la pandémie (46 %) et les pertes dues aux aléas économiques (45 %). La perception du risque est particulièrement forte chez les entreprises ayant été victime d’une cyberattaque : un quart d’entre elles (24 %) indiquent avoir vu leur solvabilité menacée. En termes de cyber maturité, 70 % des entreprises françaises estiment avoir un niveau intermédiaire, signe que la prise de conscience du risque cyber progresse.

Mais, face à la complexité croissante du risque, 5 % seulement se disent désormais expertes, contre 21 % en 2021. Le nombre d’entreprises se déclarant « novices » reste stable (25 % vs 26 % en 2021). Les entreprises font notamment état d’une meilleure mise en place des process et procédures de cyber sécurité (49 %), de budgets cyber accrus ou de la mise en place de meilleures solutions (44 %) et, à 41 %, d’une meilleure prise de conscience des directions – améliorant la gestion du risque cyber – et d’équipes plus robustes (recrutement de profils experts ou effectifs accrus).

Le télétravail et la sensibilisation des collaborateurs, maillons faibles de la cybersécurité

43 % des entreprises citent le nombre important d’employés en télétravail comme facteur d’aggravation du risque cyber, devant le fait que de plus en plus de collaborateurs utilisent leur propre équipement pour travailler plutôt que celui de l’entreprise (33 %), à égalité avec l’augmentation du nombre d’attaques (33 %). Le manque de conscience des exigences de sécurité par les collaborateurs est aussi pointé du doigt par 21 % des responsables sondés (en 5e position).

Les principaux points d’entrée des cyberattaques sont le reflet de cette vulnérabilité perçue : les e-mails professionnels compromis (40 %) et les vulnérabilités des serveurs cloud d’entreprise (40 %, + 15 pts) arrivent en tête, devant la vulnérabilité des serveurs maison (36 %) et les services d’accès à distance, tels que les VPN (33 %). Suivent les attaques par déni de service (29 %) et les appareils personnels des collaborateurs (24 %). Pour les ransomwares, le phishing (65 %) devance le vol d’identifiants (37 %) comme premier point d’entrée.

Des budgets cyber en légère progression

Le budget cyber représente désormais 22 % du total des dépenses informatiques à 22,7 millions d’euros en moyenne contre 20,4 millions en 2020 (20 %). Les priorités des entreprises en matière d’investissements cyber sont : résoudre les menaces et vulnérabilités existantes (58 %), atteindre ou maintenir sa conformité réglementaire (55 %), garantir sécurité des services et applications client (55 %).

Le nombre d’entreprises assurées contre le cyber reste stable

61 % des entreprises se disent assurées, soit dans le cadre d’une assurance plus globale (37 %), soit par le biais d’une assurance dédiée (24 %). Le 1er motif d’investissement dans une cyber assurance est la préoccupation vis-à-vis des data.

À propos de l'étude
Hiscox a sollicité Forrester Consulting pour évaluer les capacités de gestion des cyber-risques des entreprises. Au total, 5 181 professionnels en charge de la stratégie de cybersécurité de leur entreprise ont été sondés (plus de 900 personnes par pays pour les États-Unis, le Royaume-Uni, la France et l’Allemagne, plus de 400 pour la Belgique, l’Espagne et les Pays-Bas et plus de 200 pour la République d’Irlande). Les participants ont rempli le questionnaire en ligne entre le mardi 30 novembre 2021 et le vendredi 21 janvier 2022.