Si les grandes entreprises sont fortement sensibilisées aux risques cyber, la situation est plus contrastée dans le segment en dessous, les ETI, celles qui regroupent entre 500 et 5 000 collaborateurs. Le cabinet d'études et de conseils PwC et le courtier en assurances Bessé ont mené une enquête sur 432 ETI françaises pour connaître leur perception de ce type de risque. Principale caractéristique, elles estiment qu'il est d'abord d'origine externe, l'étude montre au contraire qu'il est avant tout interne. Seuls 17% des incidents constatés l'an passé sont dus à une cyberattaque externe organisée, 54% des entreprises constatent qu'ils proviennent de salariés actuels ou passés.
Des chiffres significatifs, mais qu'il faut interpréter. Les salariés en cause sont souvent coupables par négligence, par exemple en introduisant des malwares par leurs mauvaises pratiques. Les ETI sous-estiment également la concurrence. Ils pensent spontanément que seuls des cybercriminels peuvent les attaquer. Leur perception du risque est donc déformée et leur stratégie insuffisante. Les dirigeants délèguent à leur DSI ou à des sous-traitants, mais sous-estiment le risque de paralysie pour une activité, une usine, ou pour l'ensemble de l'entreprise.
L'information est faiblement protégée dans les ETI
Les dirigeants des ETI, note l'étude, sont mal préparés à une crise majeure, après une cyberattaque. Seuls 39% d'entre eux ont engagé une politique de sensibilisation de leurs collaborateurs, 19% seulement ont une stratégie de protection de l'information. Les conséquences financières d'une attaque sont mal perçues, l'assurance encore largement ignorée.
Les dirigeants d'ETI sont pourtant informés du risque cyber, 76% de ceux interrogés dans l'étude ont subi un incident de ce type en 2017. Ils restent sensibilisés par l'actualité médiatique qui rend compte des grandes attaques, mais ont du mal à bien distinguer le risque cyber du risque industriel qu'ils connaissent déjà. Selon Pierre Bessé, président du cabinet éponyme, les risques de type industriels sont accidentels, stables et cantonnés, à l'inverse les risques cyber qui sont d'origine malveillante, restent évolutifs et systémiques. S'ils ne les distinguent pas rapidement, les dirigeants d'ETI accentuent la fragilité de leurs entreprises.