La menace des cyberattaques grandit. À cet égard, les grandes entreprises sont particulièrement visées : 45% des entreprises de plus de 250 employés ont déjà été au moins une fois victimes d’une cyberattaque. C’est ce que révèle le dernier swissVR Monitor, une enquête semestrielle réalisée par l’Association des conseils d’administration swissVR en coopération avec le cabinet d’audit et de conseil Deloitte Suisse et la Haute École de Lucerne. Dans le cadre de cette étude, pas moins de 400 membres de conseils d’administration ont été interrogés sur le thème clé de la« cyberrésilience ».
swissVR-Monitor II-23-FRA-Cyber
Les PME moins concernées
Contrairement aux grandes entreprises, les PME semblent nettement moins touchées : en effet, seulement 18% des entreprises de moins de 50 employés déclarent avoir été victimes d’une attaque grave. Le lien entre la taille de l’entreprise et la fréquence des attaques est manifeste : les grandes entreprises sont globalement plus exposées et offrent aux cybercriminels des terrains d’attaque plus vastes. Une autre raison invoquée pour expliquer pourquoi les petites entreprises seraient apparemment moins touchées réside dans le fait que les incidents de cette nature ne font pas toujours l’objet d’un reporting auprès du conseil d’administration.
La conséquence la plus fréquente est une interruption d’exploitation
Les cyberattaques ont souvent de graves répercussions sur l’activité opérationnelle. La conséquence de loin la plus fréquente est l’interruption d’exploitation. C’est le cas pour 42% des entreprises victimes d’une cyberattaque (voir graphique 1). Sont particulièrement menacés les processus opérationnels des entreprises du secteur des technologies de l’information et de la communication. Dans cette branche, 69% des entreprises visées par une cyberattaque ont subi une interruption d’exploitation.
les cas de fuite d’actifs restent rares, les conséquences financières ne doivent pas être sous-estimées pour autant. Outre les baisses de chiffre d’affaires dues aux interruptions d’exploitation, ces incidents engendrent également des coûts substantiels, par exemple pour la restauration des données.
La cyberrésilience est un facteur qui compte de plus en plus
L’ampleur des conséquences illustre l’urgence pour les PME de faire face aux cyberrisques. « Cette problématique fait désormais partie intégrante de toute bonne gouvernance d’entreprise. Heureusement, de nombreuses entreprises l’ont déjà bien compris. Mais il reste encore beaucoup à faire. Notre enquête montre que la cyberrésilience devient un enjeu majeur pour toutes les branches. Il appartient à chaque entreprise d’intégrer cet enjeu dans la gestion des risques et le processus stratégique de chaque entreprise », explique Mirjam Durrer, chargée de cours à l’Institut für Finanzdienstleistungen Zug (IFZ) de la Haute École de Lucerne. 95% des membres de conseils d’administration sondés estiment que la cyberrésilience a gagné en importance pour leur entreprise au cours des trois dernières années. La majorité d’entre eux observent même une forte augmentation des enjeux liés à la cyberrésilience, qu’ils jugent dans une large mesure proportionnels à la taille de l’entreprise. On retrouve donc, là encore, une corrélation entre la taille de l’entreprise et le niveau de la menace.
La cybersécurité n’est pas encore traitée comme un enjeu crucial par tous les acteurs
Point positif : les conseils d’administration indiquent qu’ils assument la plupart de leurs responsabilités en matière de cyberrésilience. 85% des personnes interrogées confirment en effet que leur conseil d’administration suit de près les tendances et les évolutions actuelles dans le domaine de la cyberrésilience (voir graphique 2). De même, huit conseils d’administration sur dix disposent d’une politique de gestion des risques qui prend à bras-le-corps la problématique des cybermenaces. Il y a pourtant urgence à agir, rappelle avec insistance Cédric Nabe, associé Risk Advisory chez Deloitte Suisse. « La prise de conscience des risques augmente, ce qui est un signe positif. Néanmoins, tous les conseils d’administration n’ont pas encore intégré cette problématique. Par ailleurs, près de la moitié des entreprises ne disposent pas d’une cyberstratégie claire. Les entreprises suisses et leurs conseils d’administration doivent donc aller plus loin dans la prise de responsabilités dans le domaine de la cyberrésilience. »
les cas de fuite d’actifs restent rares, les conséquences financières ne doivent pas être sous-estimées pour autant. Outre les baisses de chiffre d’affaires dues aux interruptions d’exploitation, ces incidents engendrent également des coûts substantiels, par exemple pour la restauration des données.
La cyberrésilience est un facteur qui compte de plus en plus
L’ampleur des conséquences illustre l’urgence pour les PME de faire face aux cyberrisques. « Cette problématique fait désormais partie intégrante de toute bonne gouvernance d’entreprise. Heureusement, de nombreuses entreprises l’ont déjà bien compris. Mais il reste encore beaucoup à faire. Notre enquête montre que la cyberrésilience devient un enjeu majeur pour toutes les branches. Il appartient à chaque entreprise d’intégrer cet enjeu dans la gestion des risques et le processus stratégique de chaque entreprise », explique Mirjam Durrer, chargée de cours à l’Institut für Finanzdienstleistungen Zug (IFZ) de la Haute École de Lucerne. 95% des membres de conseils d’administration sondés estiment que la cyberrésilience a gagné en importance pour leur entreprise au cours des trois dernières années. La majorité d’entre eux observent même une forte augmentation des enjeux liés à la cyberrésilience, qu’ils jugent dans une large mesure proportionnels à la taille de l’entreprise. On retrouve donc, là encore, une corrélation entre la taille de l’entreprise et le niveau de la menace.
La cybersécurité n’est pas encore traitée comme un enjeu crucial par tous les acteurs
Point positif : les conseils d’administration indiquent qu’ils assument la plupart de leurs responsabilités en matière de cyberrésilience. 85% des personnes interrogées confirment en effet que leur conseil d’administration suit de près les tendances et les évolutions actuelles dans le domaine de la cyberrésilience (voir graphique 2). De même, huit conseils d’administration sur dix disposent d’une politique de gestion des risques qui prend à bras-le-corps la problématique des cybermenaces. Il y a pourtant urgence à agir, rappelle avec insistance Cédric Nabe, associé Risk Advisory chez Deloitte Suisse. « La prise de conscience des risques augmente, ce qui est un signe positif. Néanmoins, tous les conseils d’administration n’ont pas encore intégré cette problématique. Par ailleurs, près de la moitié des entreprises ne disposent pas d’une cyberstratégie claire. Les entreprises suisses et leurs conseils d’administration doivent donc aller plus loin dans la prise de responsabilités dans le domaine de la cyberrésilience. »