Entreprises : le nombre de cyberattaques diminue, mais les pertes augmentent

Entreprises : le nombre de cyberattaques diminue, mais les pertes augmentent

Mis à jour le
min de lecture

Le monde de l’assurance, et celui de l’entreprise plus généralement, garde un œil attentif sur la problématique des cybermenaces. Au fil des années, le nombre de cyberattaques n’a cessé d’augmenter, obligeant les entreprises à mieux se protéger, notamment en souscrivant à des cyberassurances. Dans son rapport annuel, Hiscox fait le point sur la situation. S’il y a du mieux, certaines choses restent encore préoccupantes.

  • En bref : Rapport annuel Hiscox sur les cybermenaces et la cyberrésilience des entreprises
  • Au total, les cyberattaques auront coûté 1,6 milliard d’euros aux entreprises au cours de ces douze derniers mois ;
  • En seulement une année, le coût médian de ces attaques est ainsi passé de 9 000 à 52 100 euros par entreprise ;
  • De fait, les pertes liées à ces cyberincidents a été multipliées par six durant l’année 2019 ;
  • Paradoxalement, le nombre d’entreprises touchées semble être en baisse, passant de 61 % en 2019, à 39 % en 2020 ;
  • Les entreprises sont cependant plus sensibilisées à ces problématiques désormais, et se préparent mieux. Leurs dépenses en matière de cybersécurité ont augmenté de 39 % en 2019 ;
  • Le nombre d’entreprises dites expertes, c’est-à-dire celles se protégeant le plus efficacement face aux cyberrisques, a pratiquement doublé en 2020, passant de 10 % à 18 % ;
  • Plus de 6 % des entreprises interrogées par Hiscox ont versé une rançon en raison d’une cyberattaque, revenant à un total de 335 millions d’euros ;
  • Parmi les pays participants à l’étude, la France se classe tout en haut de la liste quant au niveau de dépenses des entreprises pour la cybersécurité. De manière générale, ces dépenses ont augmenté de 39 %.

Cybersécurité et entreprises : va-t-on vers une meilleure compréhension du risque ?

La question de la cybersécurité est plus que jamais d’actualité dans le secteur de l’assurance. Une récente étude de la compagnie d’assurance Hiscox vient confirmer que le risque est bien concret, grandissant, et que ses conséquences sont multiples. Selon l’étude, ces douze derniers mois, les pertes liées à des cyberattaques auraient presque été multipliées par six. Concrètement, cela signifie que le coût moyen de ces cyberattaques serait passé de 9 000 à 51 200 euros par entreprise.

Alors que le nombre de cyberattaques augmente – parmi les nombreux exemples, l’on pourrait citer le cas de la MMA, victime d’une cyberattaque d’ampleur en juillet 2020 –, les entreprises tentent de mieux s’organiser afin d’être prêtes en cas de problème. Ainsi, elles recourent non seulement à des cyberassurances pour couvrir les risques financiers, mais œuvrent aussi à l’amélioration des dispositifs de prévention en leur sein.

Cyberattaques assureurs 2020
Les entreprises ont-elles été plus cyberrésilientes en 2019 ?

Selon les données de Hiscox, le nombre d’entreprises adoptant des mesures sécuritaires plus efficaces, et donc dépensant davantage pour se protéger des cybermenaces, aurait augmenté de 39 % en 2019 – soit 1,8 million d’euros de dépenses, contre 1,3 million l’année précédente : « Ce chiffre reflète à la fois une hausse globale des budgets informatiques et un bond de 30 % pour la seule partie consacrée à la cybersécurité (de 9,9 % à 12,9 %). Les très grandes entreprises ont montré l’exemple », précise le rapport. Toujours selon l’étude, cette réactivité aurait permis une réduction du nombre d’entreprises victimes de cyberattaques, avec 39 % en 2020, contre 61 % en 2019.

Alors, concrètement, à combien reviennent les pertes liées aux cyberattaques en 2019 ? Quelque 1,6 milliard d’euros, contre 1,1 milliard l’année précédente. Les cybermenaces ne discriminent pas, et tous les secteurs d’activité sont concernés : « Sur le terrain de la cybersécurité, toutes les entreprises ne sont pas logées à la même enseigne, explique ainsi Frédéric Rousseau, responsable du marché cyber chez Hiscox Assurance France. Des disparités persistent selon la taille ou encore le secteur d’activité. Il est inquiétant de constater que 11 % de l’ensemble des entreprises interrogées déclare ne pas savoir combien de fois elles ont été visées par une cyberattaque. S’il semble que les petites entreprises sont moins victimes d’attaques (63 % n’ont pas subi d’incidents en 2019), en réalité 49 % d’entre elles n’ont pas de postes définis pour la cybersécurité et naviguent à vue. »

Pertes médianes des secteurs les plus lourdement touchés
Secteur 2020 2019
Energie 306 000 € 9 000 €
Fabrication 91 000 € 11 000 €
Services financiers 151 000 € 27 000 €
TMT 69 000 € 9 000 €
Pharmacie 55 000 € 9 000 €

* Source : Rapport Hiscox 2020 sur la gestion des cyberrisques, p.8.

Selon Hiscox, « les chiffres suggèrent que les cybercriminels ont de plus en plus tendance à considérer les entreprises du secteur de l’énergie et de la fabrication comme des cibles lucratives ».

Pour réaliser son rapport, Hiscox a interrogé 5 569 professionnels en charge de la stratégie de cybersécurité dans des entreprises, avec la répartition suivante : plus de 1 000 personnes pour les États-Unis, le Royaume-Uni et l’Allemagne, plus de 500 pour la Belgique, l’Espagne, les Pays-Bas et la France, et, enfin, plus de 300 pour la République d’Irlande. L’étude a été faite via un formulaire en ligne entre le 24 décembre 2019 et le 3 février 2020.

Cyberattaques : les entreprises françaises sont-elles bien protégées ?

Quelques chiffres intéressants relatifs à la France pour 2019 sont présents dans le rapport :

  • 34 % des entreprises interrogées ont été victimes de cyberincidents ;
  • En une année, le taux d’entreprises victimes de cyberincidents a baissé de 33 points ;
  • En un an, le coût médian des incidents et failles cyber ont grimpé, avec 35 000 euros en moyenne pour le pays.

Bien que la France enregistre des pertes relativement faibles par rapport à d’autres pays, une entreprise sur cinq a expliqué avoir été victime d’une cyberattaque et reversé une rançon pour régler la situation. Les entreprises françaises et américaines sont celles qui ont été les plus nombreuses à reverser une rançon, avec un taux de 18 %, alors que la moyenne générale est de 16 %.

Cyberattaques assureurs 2020

De plus, il semble que les entreprises françaises aient pris conscience du problème, puisque le pays est en haut de la liste en ce qui concerne les dépenses liées à leur sécurité, enregistrant une moyenne de 2,8 millions.

Cela représente une hausse importante, avec 18 % d’entreprises dites « expertes » (c’est à dire celles dont le niveau de maîtrise du risque cyber est le plus élevé), contre 6 % l’année précédente. La France est le pays avec la plus grosse progression dans ce domaine.

On constate ainsi un paradoxe : moins d’entreprises signalent désormais une faille sécuritaire (-22 %), pour autant, comme nous l’indiquions précédemment, « le coût et l’intensité des cyber incidents ont été multipliés par six en un an ». Les cyberattaques sont désormais inévitables, il s’agit donc pour les entreprises d’y être préparé. Néanmoins, sur la question des cyberassurances, Gareth Wharton, PDG de Hiscox, s’interroge : « La souscription d’une police de cyberassurance dédiée demeure néanmoins minoritaire avec plus de la moitié des entreprises de notre rapport qui s’appuient encore sur une assurance plus générale. On peut se demander pourquoi. Ces entreprises ont presque systématiquement des garanties couvrant les incendies et les vols, pourtant, le rapport indique qu’elles ont près de 20 fois plus de risques de subir un cyberincident, à savoir 30 % contre environ 2 % pour les incendies et vols cumulés au Royaume-Uni. »

Si le rapport annuel de Hiscox atteste d’une prise de conscience généralisée, il est également précisé que face aux cybermenaces, les entreprises ne sont malheureusement pas sur un pied d’égalité. En fonction des secteurs d’activité, mais aussi de leur taille, certaines sont plus cyberrésilientes que d’autres : près de la moitié des petites entreprises n’ont pas de responsable dédié à la cybersécurité. Les grandes entreprises – soit comptant plus de 1 000 salariés – sont toujours les plus visées par ce type d’attaques.

En étudiant avec attention le rapport, on constate donc que les choses évoluent, a priori dans le bon sens. Pour autant, il reste encore beaucoup à faire pour parvenir à une situation de cyberrésilience internationale vraiment efficace. Dans son baromètre des risques 2020, Allianz déclarait les cyberincidents et le réchauffement climatique comme les deux grands défis des entreprises pour la nouvelle décennie.

  • Cyberattaques et entreprises : quels sont les incidents les plus courants selon le rapport Hiscox ?
  • Infection par un virus : 23 % ;
  • Compromission de la messagerie en entreprise : 21 % ;
  • Ransomware/logiciel malveillant (sauvegardes récupérées) : 19 % ;
  • Faille – violation de la chaîne logistique : 18 % ;
  • Déni de service distribué : 18 % ;
  • Perte d’appareils et données sensibles : 18 %.

Partager cet article !