La cybersécurité en France vue par les entreprises : 47% de cyberattaques en moins et des pertes financières divisées par deux en 2016

Neuilly-sur-Seine, le 19 octobre 2016

Les entreprises françaises auraient-elles trouvé un moyen de lutter efficacement contre les cyberattaques ?

C’est ce que laisse penser la dernière étude du cabinet d’audit et de conseil PwC « The Global State of Information Security® Survey 2017 », réalisée en collaboration avec CIO et CSO, qui propose un tour d'horizon de la cybersécurité dans le monde. En France, le nombre de cyberattaques détectées par les entreprises au cours des 12 derniers mois s’élève en moyenne à 11 incidents par jour (soit une baisse de 47% à taux de change constant par rapport à 2015) pour un montant moyen de pertes financières estimé à 1,5 million d’euros (en diminution de 56% à taux de change constant en un an).

Dans la première publication d’une série de quatre livres blancs présentant les principaux enseignements de cette étude, PwC démontre que les entreprises perçoivent désormais la cybersécurité comme un enjeu clé facteur de croissance et d’innovation pour leurs activités. En effet, 59% des dirigeants interrogés par PwC déclarent avoir augmenté leurs dépenses de cybersécurité en 2016 pour accompagner la transformation digitale de leur entreprise. En France, les entreprises ont investi en moyenne 3,9 millions d’euros dans la sécurité de leurs systèmes d’information au cours des 12 derniers mois.

Les entreprises françaises de mieux en mieux armées face aux cyberattaques ?

Le nombre d'incidents de cybersécurité détectés en France au cours des 12 derniers mois a fortement baissé par rapport à l’année dernière. Les entreprises interrogées en ont recensés 4165, soit en moyenne 11 incidents par jour. C’est près de deux fois moins qu’en 2015 où les entreprises françaises avaient détectées en moyenne 21 incidents par jour. 

« En 2016, les entreprises françaises ont subi moins de cyberattaques que les entreprises dans le reste du monde. Si le nombre d’incidents détectés a diminué cette année, c’est parce que les entreprises de l’Hexagone ont développé une meilleure compréhension et, éventuellement une meilleure qualification, de ce qu'est un incident de cybersécurité. L’incident est avéré dès lors qu’un intrus réussit à franchir une porte dans le système d’information d’une entreprise », explique Philippe Trouchaud, associé responsable du département cybersécurité de PwC.

« Certains secteurs d’activités connaissent pourtant une augmentation importante du nombre d’incidents de cybersécurité détectés. C’est le cas des télécommunications, des médias et des services financiers qui attirent plus particulièrement les pirates informatiques en raison des vulnérabilités de leurs systèmes de sécurité, mais aussi de la valeur marchande des données qu’ils  détiennent sur leurs clients », ajoute-t-il.

Si la menace a été mieux maîtrisée cette année, elle n’en reste pas moins réelle pour les entreprises françaises. En baisse de 56% au cours des 12 derniers mois, les pertes financières des entreprises attaquées sont estimées en moyenne à 1,5 million d’euros. Mais les entreprises françaises s’en sortent mieux que leurs homologues étrangères pour lesquelles ces pertes atteignent près de 2,2 millions d’euros en moyenne.

La malveillance interne est toujours citée comme l'origine principale des cyberattaques en France. En effet, près d’une entreprise française sur trois (32,2%) estime que ses collaborateurs sont à l’origine de certaines attaques subies en 2016, et près d’une sur quatre (23,4%) qu’il s’agirait de leurs partenaires commerciaux. A l’extérieur de l’entreprise, ce sont les concurrents qui sont aujourd’hui les premiers acteurs suspectés, avec 30,8% des répondants qui pensent que leurs concurrents sont potentiellement responsables de leurs incidents de cybersécurité. Ce chiffre ne cesse d’augmenter d’année en année : si une entreprise sur cinq évoquait les concurrents en 2015, elles sont désormais une sur trois.

Face à ces constats, les entreprises françaises ont dédié des budgets conséquents à leur cybersécurité. Les entreprises interrogées par PwC ont investi en moyenne 3,9 millions d’euros dans la cybersécurité au cours des 12 derniers moisun montant en légère hausse par rapport à 2015 (+12,5%), même s’il est encore inférieur à la moyenne mondiale établie à 4,6 millions d’euros en 2016.

Ce budget est investi massivement dans la sécurisation de l’Internet des objets (IoT), alors que les entreprises françaises anticipent le développement rapide des objets connectés. En effet, 43% des dirigeants interrogés par PwC affirment que leur première priorité d’investissement se porte sur la sécurité des objets connectés, tandis qu’à l'échelle mondiale, il ne s’agit que de la quatrième priorité – les premières étant l'investissement dans la collaboration interne entre les métiers, les organisations en charge du Digital et l'IT.

D’après Philippe Trouchaud : « Si les groupes français semblent suivre le bon chemin pour renforcer leur cybersécurité, on ne peut pas en dire autant en matière de protection des données. A titre d'illustration, seulement un tiers (37%) des répondants français disent limiter au strict minimum la collecte, le traitement et la rétention de données personnelles, contre 45% à l'échelle de l'Europe et 53% à l'échelle du monde. La nouvelle réglementation européenne vise à une conformité à échéance Printemps 2018. »

La cybersécurité au service de la croissance et de l’innovation des entreprises

Le premier livre blanc extrait de cette étude, intitulé « Moving forward with cybersecurity and privacy », s'intéresse à la manière dont les entreprises adoptent la technologie et développent des approches collaboratives en matière de cybersécurité pour se protéger contre les menaces et ainsi obtenir un avantage concurrentiel.

La majorité des entreprises a cessé de considérer la cybersécurité comme un obstacle au changement ou comme un coût informatique. De fait, 59% des dirigeants interrogés déclarent avoir augmenté leurs dépenses de cybersécurité pour accompagner la transformation digitale de leur entreprise. Au-delà de leurs produits, les entreprises proposent désormais des services complémentaires sous forme de logiciels (ou apps), associés à ces produits, permettant de gagner de nouveaux clients et de développer l’engagement auprès de leurs clients actuels.

Selon Philippe Trouchaud : « La vision de la cybersécurité et de la technologie au sens large connaît une profonde mutation chez les dirigeants d'entreprise. Ils ont cessé de considérer le digital comme une menace et voient désormais la cybersécurité comme une composante essentielle de leur activité.  Pour rester compétitives, les entreprises doivent aujourd'hui s’engager financièrement pour prendre en compte et intégrer la cybersécurité dès le début de leur transformation digitale. »

Le cloud computing, les services externalisés ou encore les logiciels libres : des solutions pour sécuriser les systèmes d’information à moindre coût

L'étude révèle par ailleurs qu'à mesure que la confiance dans les services dématérialisés augmente, de plus en plus d’entreprises gèrent leurs fonctions les plus sensibles dans le cloud.

Partout dans le monde, la majorité des entreprises - 63% des répondants - affirment qu'elles gèrent aujourd'hui leurs services informatiques dans le cloud.

De plus, environ un tiers des entreprises font confiance à des prestataires de services dématérialisés pour assurer l'hébergement de leurs services financiers et de leurs activités opérationnelles, ce qui démontre que le cloud computing inspire de plus en plus confiance.

« La combinaison des technologies avancées avec les architectures cloud peut permettre aux entreprises d'identifier rapidement les menaces sur leur système d’information et d'y apporter une réponse immédiate, mais aussi de mieux comprendre leurs clients et l'écosystème dans lequel elles évoluent, et enfin de réduire leurs coûts. Le succès des modèles informatiques dans le cloud n'a cessé de croître au cours des dernières années, et il devrait se renforcer encore à l’avenir alors que les avantages deviendront toujours plus évidents aux entreprises », analyse Philippe Trouchaud.

Les entreprises font également appel à des services de sécurité informatique externalisés et à des logiciels libres pour renforcer leurs capacités en matière de cybersécurité. Plus de la moitié (53%) des dirigeants interrogés utilisent un logiciel libre et 62% d'entre eux déclarent utiliser des services de sécurité externalisés pour leur cybersécurité et la protection de leurs données - faisant appel à des partenaires externes pour réaliser des tâches extrêmement techniques, telles que l'authentification, la prévention de la perte de données et la gestion des identités et des accès numériques.

La cybersécurité se place donc désormais au cœur des priorités des entreprises interrogées, même si beaucoup d'entre elles n'ont pas encore les ressources nécessaires en interne et qu’on assiste à une pénurie globale de talents pour occuper ces postes clés. 

« Beaucoup de pédagogie en matière de cybersécurité a été réalisée depuis plusieurs années auprès des dirigeants d’entreprise. Ces-derniers se sont donc saisis de la question, qui reste pourtant complexe à adresser, notamment pour les entreprises qui disposent de ressources limitées afin d’assurer la sécurité de leur système d’information. Par conséquent, nombre d'entre elles choisissent d’externaliser certains services ou de les migrer dans le cloud », affirme Philippe Trouchaud.

Les résultats de cette enquête par secteur d'activité et par région sont disponibles sur le site internet de PwC : www.pwc.com/gsiss.

Méthodologie

 

L'étude « The Global State of Information Security® 2017 » est une enquête mondiale de PwC, CIO et CSO réalisée en ligne du 4 avril 2016 au 3 juin 2016. Les résultats présentés ici se basent sur les réponses de plus de 10 000 CEO, CFO, CIO, RSSI, OSC, vice-présidents et directeurs de l’information et des pratiques de sécurité de plus de 133 pays.

34% des répondants sont issus d’Amérique du Nord, 31% d’Europe, 20% d’Asie Pacifique, 13% d’Amérique du Sud, et 3% du Moyen-Orient et d’Afrique. La marge d’erreur est inférieure à 1%.

 

 

A propos de PwC France et pays francophones d'Afrique

PwC développe en France et dans les pays francophones d'Afrique des missions de conseil, d’audit et d’expertise comptable, privilégiant des approches sectorielles. 

Plus de 208 000 personnes dans 157 pays à travers le réseau international de PwC partagent solutions, expertises et perspectives innovantes au bénéfice de la qualité de service pour clients et partenaires. Les entités françaises et des pays francophones d'Afrique membres de PwC rassemblent 5 000 personnes couvrant 23 pays. Rendez-vous sur www.pwc.fr

En se mobilisant au quotidien pour conseiller et accompagner ses clients dans leur réussite, PwC contribue à la dynamique de l’économie française. A travers ses études et ses analyses d’experts, PwC s’engage également à anticiper les économies du futur et à développer les nouveaux usages technologiques. Enfin, en apportant des solutions pour maîtriser les risques, PwC crée de la confiance entre les acteurs et sécurise le cœur de l’économie française.

PwC France a lancé le mouvement #LetsgoFrance pour valoriser tous ceux qui travaillent à la réussite de l'économie française.

Rejoignez-nous et agissons ensemble : letsgofrance.fr

« PwC » fait référence au réseau PwC et/ou à une ou plusieurs de ses entités membres, dont chacune constitue une entité juridique distincte. Pour plus d’informations, rendez-vous sur le site www.pwc.com/structure