L’assureur professionnel Hiscox vient de publier une étude sur la préparation des entreprises aux cyberattaques. Réalisée auprès de 6.000 entreprises aux Etats-Unis et en Europe (Allemagne, Belgique, Espagne, France, Irlande, Pays-Bas et Royaume-Uni) par Forrester Research, l’enquête témoigne du développement des cyberattaques visant les TPE/PME et les grands groupes (43% des entreprises touchées en 2020, 49% en France contre 34% en 2019) mais aussi, et c’est une bonne nouvelle, de la meilleure préparation des entreprises à les affronter. « Malgré les difficultés dues à la pandémie de Covid-19, les entreprises ont amélioré leurs parades en consacrant plus de ressources et d’attention que jamais à la cyber résilience. Au début de la pandémie la majorité des entreprises avaient besoin de poursuivre avant toute chose leurs activités. On pouvait craindre une compression de leur budget IT et la suppression de leurs dépenses en matière de cybersécurité. Notre enquête démontre qu’il n’en fut rien. Les dépenses consacrées à la cybersécurité sont montées en flèche », explique Gareth Wharton, CEO de la branche Cyber d’Hiscox et ancien directeur du groupe d’assurance. En France, ces dépenses sont ainsi passées de 13% à 20% du budget IT.

Cet argent n’a toutefois pas réussi à empêcher la multiplication des attaques. Comme on l’a vu, dans l’Hexagone, près de la moitié des entreprises a été victime des hackers. Beaucoup de ces entreprises (22%) ont même affronté plus de 25 assauts.

Environ 16% des organisations du panel ciblées par une cyberattaque ont été victimes d’un ransomware et 58% d’entre elles (65% en France) ont versé une rançon. En tout,19% des entreprises françaises interrogées ont ainsi reconnu avoir payé une rançon. La France se situe même dans le trio de tête des entreprises qui ont été obligées de verser une rançon, derrière les Etats-Unis et l’Allemagne (21% chacun).

Le montant déboursé par les 241 entreprises interrogées victimes d’un ransomware totalise 7,3 millions de dollars. Le montant moyen de la rançon est ainsi de 11.900 dollars. Une entreprise allemande a reconnu avoir payé 94.900 dollars, une autre entreprise, française celle-là, n’a versé que l’équivalent de quelques dollars. Un quart des entreprises victimes appartiennent à ce que l’assureur nomme le secteur des TMT (technologie, médias et télécoms).

Selon Hiscox, 31% des entreprises visées par les cyberpirates sont victimes de virus, 28% de détournements et de fraudes et 27% d’attaques DDoS, les firmes américaines, allemandes et françaises étant particulièrement visées par ces dernières. Tous types d’attaques confondus, le coût médian de ces agressions représentait en 2020 13.126 dollars par entreprise. Il est de 8.000 dollars pour les TPE et dépasse 300.000 dollars pour 5% des entreprises interrogées.

Malgré ces coûts quelquefois exorbitants, les entreprises ne se précipitent pas pour se couvrir par une assurance. Seulement 27% d’entre elles, c’est à peine 1% de plus qu’en 2020.