Cybersécurité : pertes financières en augmentation de 50%

Communiqué de presse 

Neuilly-sur-Seine, le 6 novembre 2017

Après une année marquée par de nombreuses cyberattaques à portée mondiale, les entreprises françaises enregistrent des pertes financières estimées à 2,25 millions d’euros en moyenne, en hausse de 50% (à taux de change constant en un an). Tels sont les résultats de la dernière étude du cabinet de conseil et d’audit PwC : « The Global State of Information Security® Survey 2018 », réalisée en collaboration avec CIO et CSO, qui propose un tour d'horizon de la cybersécurité dans le monde. Cette étude dévoile également les enseignements suivants :

  • Les entreprises françaises déclarent avoir investi en moyenne 4,3 millions d’euros dans la sécurité de leurs systèmes d’information au cours des 12 derniers mois, soit une hausse de 10,2% (à taux de change constant par rapport en 2016),
  • Mieux équipées, elles ont identifié 4 550 incidents en un an, l’équivalent de 12 par jour (vs. 11 en 2016), soit une hausse de 9% par rapport à l’année dernière.

Dans la première publication d’une série de trois livres blancs présentant les principaux enseignements de cette étude, PwC met en avant la place de plus en plus importante accordée par les entreprises à la prise en compte des enjeux de cybersécurité. En effet, pour la deuxième année consécutive, 59% des dirigeants interrogés par PwC déclarent avoir augmenté leurs dépenses de cybersécurité en 2017 pour accompagner la transformation digitale de leur entreprise.

En matière de cybersécurité, les entreprises françaises font face à des attaques plus importantes en termes de dommages

Au cours des douze derniers mois, les 9 500 dirigeants et responsables informatiques des 122 pays interrogés dans le cadre de cette étude ont déclaré consacrer en moyenne 4,4 millions d’euros dans la lutte contre la cybercriminalité pour 3 458 attaques détectées et un montant moyen des pertes financières estimé à 1,7 million d’euros. Les entreprises françaises, dont le budget moyen est équivalent, ont identifié 4 550 tentatives d’intrusion pour des pertes financières évaluées à 2,25 millions d’euros en moyenne. Ces chiffres sont en hausse par rapport à l’année précédente, pour un nombre d’attaques similaires, ce qui signifie des pertes plus importantes. 70% des entreprises françaises interrogées affirment avoir défini ou être en cours de définition d’une stratégie globale en matière de sécurité et d’information (vs. 67% des entreprises mondiales).

En France, l’interruption des opérations est citée comme principale conséquence d’une cyberattaque par 36% des répondants, suivie par la mise en danger de données sensibles (36%), une menace pour la qualité des produits (32%) et un risque pour la vie humaine (25%). 

« Nous constatons une réelle professionnalisation des hackers. Leurs motivations relèvent désormais beaucoup plus d’un intérêt économique (détournement d’argent, vol d’actifs…) que du simple caractère malveillant. Les attaques, plus ciblées, mieux préparées mais aussi mieux réparties sur la durée, coûtent plus cher aux entreprises. »

Pour Philippe Trouchaud, associé responsable du département cybersécurité de PwC

Des efforts à poursuivre en matière de sensibilisation des collaborateurs et d’identification des cybercriminels

Les études de cas sur les catastrophes non-cyber montrent qu’une simple coupure de courant est souvent à l’origine d’événements en cascade impactant simultanément ou en l’espace d’une seule journée de nombreux systèmes IT, ce qui signifie qu’il reste généralement très peu de temps pour résoudre le problème initial avant qu’il ne dégénère. De nombreux répondants notamment parmi les plus puissantes économies (Japon, États-Unis, Allemagne, Royaume-Uni, Corée du Sud…) se disent soucieux des cyberattaques venant d’autres pays. En effet, dans une économie mondialisée, les interdépendances entre les réseaux sont nombreuses et passent souvent inaperçues avant que des complications ne surviennent. Les outils permettant de lancer une attaque prolifèrent dans le monde entier y compris dans les pays en développement. Aujourd’hui, ceux-ci cherchent aussi à se doter de capacités de cybersécurité similaires à celles des pays les plus avancés. De plus, la fuite des outils d’intrusion informatique de la NSA a permis aux hackers malveillants de renforcer leurs attaques.

Bien que trois entreprises françaises sur quatre (75%) déclarent avoir défini une stratégie de surveillance et gestion des cyberattaques (alors qu’elles sont 69% au niveau mondial), un grand nombre d’entreprises potentiellement ciblées ne sont toujours pas prêtes à faire face à une cyberattaque. En effet, une entreprise sur deux en France (53%) n’a pas de programme de formation et sensibilisation à la sécurité pour ses collaborateurs (contre 48% des entreprises dans le monde). En cas de cyberattaque, la plupart des entreprises victimes ne sont pas en mesure d’en identifier clairement les responsables. Seuls 28% des dirigeants et responsables de la sécurité en France se disent très confiants quant à leur capacité à remonter jusqu’aux auteurs, alors qu’ils sont 39% au niveau mondial.

« Longtemps, pour lutter contre les cyberattaques, les entreprises ont eu tendance à privilégier la technologie au détriment du facteur humain alors que ce dernier représente ⅔ des incidents. La mise en place d’un programme de cybersécurité à l'état de l'art ne peut se faire sans une composante sensibilisation à destination des collaborateurs et l’enseignement des bonnes pratiques pour limiter toute tentative de “phishing”. Il faut garder à l'esprit que même avec ce type de sensibilisation le risque résiduel reste important car près de 30 % des personnes ayant reçu un phishing ciblé ouvre quand même la pièce jointe malveillante »

explique Philippe Baumgart, associé expert en cybersécurité chez PwC.

Les entreprises françaises se montrent très concernées par la future application du GDPR

L’envolée des objets connectés (IoT) implique l'augmentation du nombre de capteurs non sécurisés, ce qui multiplie les sources de vulnérabilité. La menace croissante qui pèse sur les données issues de l’IoT pourrait fragiliser des systèmes IT considérés aujourd’hui comme fiables et les dommages causés aux infrastructures sensibles, se traduisant ainsi par des dégâts physiques.

Face à ce contexte, en mai 2018, le GDPR (Règlement Général européen sur la Protection des Données) obligera ainsi toutes les structures privées ou publiques qui collectent et traitent les données de citoyens européens, à communiquer les éventuelles violations de la confidentialité de ces données. Désormais considérées comme responsables des données recueillies, sous peine de sanctions financières importantes, les entreprises vont devoir faire preuve d’une sécurité renforcée impliquant la responsabilité de chacun (collaborateurs, prestataires, partenaires commerciaux etc). À quelques mois de l’application du règlement qui permettra une protection des données unifiée dans toute l’Europe, plus d’une entreprise sur dix dans le monde (14%) déclarent encore n’avoir engagé aucune démarche de mise en conformité à ce nouveau règlement. Les entreprises françaises semblent néanmoins plus avancées puisque seulement 9% d’entre elles n’ont pas encore entrepris de changement dans leur processus. 

« Les entreprises françaises sont de plus en plus impliquées dans la préparation à la conformité du GDPR en mai 2018. On constate une vraie prise de conscience sur la protection des données personnelles, qui va bien au-delà du risque d'amende ou d'image, mais positionne bien la donnée comme un actif stratégique de l’entreprise. »

Jean-David Benassouli, associé responsable de l'activité Data & Analytics chez PwC

Méthodologie

L’étude « Global State of Information Security® Survey 2018 » est une enquête mondiale de PwC, CIO et CSO, réalisée en ligne du 24 avril au 26 mai 2017. Les résultats présentés ici se basent sur les réponses de 9500 CEO, CFO, CIO, RSSI, OSC, vice-présidents et directeurs de l’information et des pratiques de sécurité de 122 pays. 38% des répondants sont issus d’Amérique du Nord, 29% d’Europe, 18% d’Asie-Pacifique, 14% d’Amérique du Sud, et 1% du Moyen-Orient et d’Afrique. La marge d’erreur est inférieure à 1%.

A propos de PwC France et pays francophones d'Afrique

PwC développe en France et dans les pays francophones d'Afrique des missions de conseil, d’audit et d’expertise comptable, privilégiant des approches sectorielles. 

Plus de 223 000 personnes dans 157 pays à travers le réseau international de PwC partagent solutions, expertises et perspectives innovantes au bénéfice de la qualité de service pour clients et partenaires. Les entités françaises et des pays francophones d'Afrique membres de PwC rassemblent 5 800 personnes couvrant 23 pays. Rendez-vous sur www.pwc.fr

En se mobilisant au quotidien pour conseiller et accompagner ses clients dans leur réussite, PwC contribue à la dynamique de l’économie française. A travers ses études et ses analyses d’experts, PwC s’engage également à anticiper les économies du futur et à développer les nouveaux usages technologiques. Enfin, en apportant des solutions pour maîtriser les risques, PwC crée de la confiance entre les acteurs et sécurise le cœur de l’économie française.

PwC France a lancé le mouvement #LetsgoFrance pour valoriser tous ceux qui travaillent à la réussite de l'économie française.

Rejoignez-nous et agissons ensemble : letsgofrance.fr

PwC a remporté le prix "Audit Innovation of the Year" 2016, qui reconnaît son leadership parmi la profession pour fournir des services de haute qualité et recruter des collaborateurs talentueux et ouverts d'esprit.

« PwC » fait référence au réseau PwC et/ou à une ou plusieurs de ses entités membres, dont chacune constitue une entité juridique distincte. Pour plus d’informations, rendez-vous sur le site www.pwc.com/structure

Contactez-nous

Élodie Gaillard
Responsable des relations presse
Tel : +33 1 56 57 10 42
Email

Sabrina Gallinotti
Relations presse
Tel : +33 1 56 57 17 45
Email

Suivez-nous !