Les efforts réalisés par les organisations en matière de cybersécurité semblent porter leurs fruits. En effet, selon le rapport 2020 de l'assureur Hiscox sur la gestion des cyber risques, le nombre d'entreprises victimes de cyber incidents a bien diminué, passant de 61% dans l'édition 2019 (et même 67% en France) à 39% cette année (34% en France). L'étude relève également que les dépenses en matière de sécurité ont progressé de 39%, confirmant une meilleure prise en compte des cyber risques à l'échelle globale.
Les grandes entreprises (plus de 1000 salariés) restent davantage visées par les cyberattaques, 51% d'entre elles ayant déclaré au moins un cyber-incident dans l'édition 2020. Ce sont également les grandes organisations qui signalent le plus grand nombre d'incidents (nombre médian de 100) et de failles (80).
Un coût moyen de 35 000 € par cyber-incident en France
Cependant, le coût médian des incidents a de son côté nettement grimpé, passant de 9000 € à 51 200 € par entreprise touchée. Au total, les pertes associés aux cyberattaques passent de 1,1 milliard d'euros à près de 1,6 milliards d'euros. Parmi les répondants, les pertes les plus lourdes concernent une société de services financiers britannique, avec un montant total de 79,9 millions d'euros. C'est également dans une entreprise britannique que l'incident unique le plus coûteux a été recensé, une seule attaque ayant provoqué une perte de 14,4 millions d'euros. Le coût médian du pire incident unique est quant à lui bien moindre, avec un montant de 3700 €. Selon le rapport, la France figure parmi les pays où les pertes liées aux cyber-incidents sont les plus faibles, avec un coût moyen de 35 000 €.
Si les infections par des virus demeurent les attaques les plus fréquentes, représentant 23% des incidents, ils sont suivis de près par la compromission des messageries d'entreprise (21%) ainsi que par les rançongiciels (19%). Ces derniers restent malheureusement lucratifs pour les cybers criminels. En effet, près d'une entreprise sur six (16%) parmi celles victimes de cyber incidents a versé une rançon, une proportion montant à 18% dans les entreprises françaises. La perte la plus élevée liée à une attaque par ransomware atteint 46 millions d'euros, contre 9,2 millions pour les autres types de malwares.
Renforcer la formation des collaborateurs
Le rapport évalue également la maturité des entreprises dans la gestion des cyber-risques. Le nombre global d'entreprises classées dans la catégorie « expertes » a augmenté, passant de 10% à 18%. La plus forte progression concerne la France, passée de 6% d'entreprises expertes à 18% en l'espace d'un an. Les investissements les plus importants en cybersécurité se trouvent également en France, avec une dépense moyenne de 2,8 millions d'euros.
En 2019, les entreprises ayant subi une attaque ont davantage investi sur la formation des collaborateurs (25%, contre 11% l'année précédente). Le nombre d'organisations ayant souscrit une cyber assurance après avoir vécu des cyber-incidents a également connu une augmentation régulière, passant de 9% à 20% en l'espace de trois ans. Près de trois quarts des répondants (72%) ont également indiqué vouloir augmenter leur budget de cybersécurité de 5% ou plus. Sachant que l'enquête a été réalisée avant la crise sanitaire, il sera intéressant de vérifier en 2021 si ces prévisions se sont concrétisées ou si elles ont été revues à la baisse.