1- La perception, par les dirigeants d ' ETI, du caractère stratégique du risque progresse :
35% d'entre eux considèrent le cyber comme un risque stratégique. Cela signifie qu'une entreprise sur trois prend en considération la gestion du risque au niveau de ses organes de direction. Néanmoins la grande majorité des ETI interrogées (55%) évalue ce risque comme important mais non prioritaire, et plus particulièrement parmi les dirigeants d'entreprises de moins de 1000 salariés (où ce taux passe à 61%)...
2-L'estimation de leur exposition au risque cyber reste mitigée :
Les dirigeants d'ETI estiment en moyenne à 5,8 sur 10 le risque de cybermenace pour leur entreprise. Plus précisément, 56% des sondés considèrent leur exposition à ce risque comme très importante ou importante, tandis que les 44% restants la qualifie de modérée (21%) voire faible à inexistante (23%). Or, la bonne gouvernance de ce risque est nécessairement fonction de l'appréciation qu'encourt l'entreprise, selon leur dirigeants...
3- Seuls 32% des dirigeants d'ETI estiment que leur entreprise est tout à fait préparée pour affronter une crise cyber
89% des sondés se disent préparés et ce, quel que soit le niveau estimé d'exposition au risque... Ainsi parmi les 32% certains d'être préparés à affronter une attaque cyber, 53% considèrent être faiblement voire nullement exposés au risque cyber... En d'autres termes, les dirigeants qui jugent le niveau de la menace cyber faible voire inexistant estiment être autant prêts à affronter une attaque cyber que ceux qui évaluent la menace comme très importante. Or, les mesures et les moyens à mettre en œuvre pour affronter une cyber attaque supposent un niveau de maturité élevé quant à l'appréhension de ce risque et des investissements à réaliser pour le maîtriser...
4- Seuls 3% des dirigeants interrogés envisagent d'embaucher dans les 12 prochains mois un profil dédié à la gestion de la cybersécurité
Or les enjeux cyber nécessitent des compétences dédiées qui ne se limitent pas à une vision technique de la sécurité informatique. Les experts en cyber sécurité sont néanmoins rares, ce qui cause de réelles difficultés aux entreprises...
5- 61% des dirigeants sondés pensent que leur entreprise dispose d'assurances couvrant le risque cyber. Mais, selon la Fédération Française des Assureurs (FFA) le volume de primes collectées en France sur le risque cyber est très faible (80 millions d'€) et le taux d'équipement des ETI estimé à moins de 10%... les dirigeants d'ETI doivent donc faire preuve de vigilance.
« Les résultats de cette enquête sont positifs. Plus sensibilisés qu'hier, les dirigeants d'ETI ont intégré la dimension stratégique du risque mais force est de constater que l'effort de sensibilisation doit être maintenu et les investissements à déployer pour se protéger encore à accentuer » ajoute Pierre Bessé.
La cyber-assurance comme solution
Parmi les outils essentiels à mettre œuvre pour anticiper et maîtriser les conséquences d'une cyber-attaque figurent la cyber-assurance. Face à un risque dont la probabilité d'occurrence est très difficile à appréhender et les conséquences non mesurables sur le plan quantitatif, le seul moyen pour les entreprises d'en minimiser l'impact est de lisser le risque financier par voie de transfert au marché de l'assurance. Les assurances risque cyber permettent de bénéficier de l'intervention rapide d'experts en la matière afin de déterminer l'origine de l'attaque, de la contenir et de définir les process à activer pour assurer la disponibilité des ressources informatiques et la continuité des activités critiques.
Cela nécessite une approche sur-mesure du risque, l'élaboration de couverture « cyber » spécifiques et un choix dédié des assureurs mobilisés sur le sujet. Dans la continuité d'un accompagnement de A à Z de ses clients, Bessé à mis en place différentes solutions pour permettre aux ETI de faire face à ce type de sinistre. « Nous intervenons au quotidien dans la gestion de la crise pour orienter et accompagner les prises de décision d'ordre stratégique. Nous pouvons ainsi prendre en charge les préjudices techniques et financiers, souvent très lourds : vol de données confidentielles, perte d'exploitation, détérioration voire destruction des systèmes d'information... Nous avons un vrai rôle à jouer aussi bien dans l'indemnisation du sinistre que dans la diffusion des bonnes pratiques et le développement de la cyber-résilience... », ajoute Pierre Bessé, président de Bessé.
Faire évoluer les solutions traditionnelles
Le risque cyber n'est sans doute pas un risque qui peut être traité comme les autres. Il implique de faire évoluer les solutions traditionnelles de traitement du risque en prévoyant notamment :
D'inscrire le risque cyber dans un processus d'agilité et d'amélioration globale en favorisant le REX (retour d'expérience) à tous les niveaux de l'organisation pour en tirer l'analyse des failles existantes et des solutions possibles. D'accompagner les dirigeants et leurs équipes : sensibiliser, faciliter, de l'amont à l'aval, former au management de risque, de crise, mutualiser les interventions d'experts spécialisés en gestion de crise etc. De faciliter la construction de réseaux de coopération entre entreprises pour s'enrichir des différentes expériences vécues et mutualiser leurs ressources.
« Il est en effet essentiel de communiquer sur les enjeux et conséquences du risque cyber, en favorisant le partage d'expérience et la diffusion des bonnes pratiques. » conclut Pierre Bessé. C'est dans cette optique que Bessé contribue à bâtir un espace propice à la réflexion et à la collaboration inter-entreprises, associant les personnalités du public et du privé, pour favoriser les échanges, les retours d'expérience entre dirigeants et diffuser les meilleures pratiques à adopter face à la menace cyber.