L’assureur professionnel britannique Hiscox vient de publier la huitième édition de son baromètre annuel sur la préparation des entreprises aux cyberattaques. Réalisée auprès de plus de 2.000 responsables de la stratégie de cybersécurité dans huit pays, dont la France, l’enquête témoigne d’une hausse annuelle de 15% des sinistres liés à la cybersécurité par rapport à l’année précédente. 67% des entreprises interrogées ont signalé avoir été victimes d’une cyberattaque en 2024, selon Hiscox.
Les TPE/PME sont particulièrement visées. « Tandis que les grandes entreprises renforcent leurs systèmes de sécurité, les cybercriminels se tournent de plus en plus vers leurs partenaires de plus petite taille. Plus vulnérables et moins bien protégées, ces entreprises deviennent la porte d’entrée des pirates vers les systèmes d’information des sociétés plus importantes », commente Hiscox.
Les secteurs les plus concernés sont la santé, la finance et la technologie : 60% des réclamations proviennent d’entreprises oeuvrant dans ces trois domaines d’activité.
34% des personnes interrogées estiment que leur entreprise n’est pas assez préparée pour contrer les cyberattaques et 26% estiment ne pas disposer de ressources suffisantes pour gérer les impacts financiers d’une attaque.
« 61% des dirigeant·e·s reconnaissent que l’atteinte à la réputation constitue un préjudice majeur pour leur entreprise après une cyberattaque ». 47% des entreprises touchées ont du mal à attirer de nouveaux clients, 43% avouent avoir perdu des clients (contre 21% en 2023), et 38% déclarent souffrir d’une mauvaise publicité après une attaque (contre 25% l’an dernier).
En début d’année, Hiscox recensait cinq cyber-risques majeurs : l’augmentation des ransomwares d’exfiltration, les fraudes au virement, la sophistication accrue des malwares, l’essor de l’IA, et l’« hacktivisme » politique.
L’usage de l’intelligence artificielle générative est une épée à double tranchant car elle peut être utilisée par des cyberattaquants. Seules 56% des entreprises du panel utilisant l’IA ont conscience de son impact sur leur profil de risque. « L’adoption de nouvelles technologies n’est pas sans risque. Les entreprises doivent en avoir conscience et adopter une approche résiliente de la cybersécurité, en associant des systèmes robustes, des salariés formés et une cyber-assurance complète. C’est la clé pour limiter les risques et préserver leur capacité d’innovation », insiste Nicolas Kaddeche, directeur technique chez Hiscox France.
Bien évidemment, Hiscox prêche pour sa paroisse et met en avant l’intérêt des cyber-assurances. L’assureur fait également quelques recommandations d’usage : mener un audit régulier des systèmes d’information et des fournisseurs, mettre en place l’authentification multi-facteurs (MFA), tester les stratégies de sauvegarde, gérer l’exposition des systèmes aux menaces externes et sensibiliser les employé·e·s aux risques. Dans 46% des cas, l’attaque est rendue possible par une erreur humaine, rappelle l’assureur.
Méthodologie
L’enquête a été menée en partenariat avec Man Bites Dog entre le 12 août et le 2 septembre 2024 auprès de 2.150 responsables de la stratégie de cybersécurité dans huit pays, dont la France, les Etats-Unis, le Royaume-Uni et l’Allemagne.