Un DSI ou un RSSI de grande organisation doit-il se préoccuper des cyber-risques frappant les PME ? Oui si celles-ci sont ses fournisseurs ou ses partenaires, de premier ou deuxième rang. Et d'autant plus que la réalisation des cyber-risques pourrait aboutir à la disparition d'un fournisseur essentiel. Car même si, en chiffres bruts, les PME semblent moins frappés par les cyber-menaces, les conséquences relatives à leur taille et leur solidité sont bien plus importantes. C'est ce que rappelle une étude réalisée par le cyber-assureur Hiscox avec Forrester Consulting.
33 % des entreprises de moins de 250 employés déclarent ainsi avoir subi une cyberattaque au cours des douze mois précédents contre 61 % des entreprises de plus de 1000 salariés. De même, le coût direct d'une cyber-attaque est plus faible en valeur brute dans les PME que dans les grands groupes (pour éviter les incidents atypiques, le « maximum » est celui de 95 percentiles de l'échantillon). Le coût médian est de 7000 euros pour les TPE (moins de 10 salariés) et 9 000 euros pour les entreprises de 50 à 250 employés (ETI) contre 22 000 euros pour celles de 1 000 employés ou plus, le coût maximum étant lui de 280 000 euros pour les TPE, 347 000 pour les ETI et 420 000 pour les grands comptes. L'atteinte de ce maximum ou même une valeur entre la médiane et le maximum (ce qui signifie la moitié des entreprises concernées) peuvent de toute évidence amener la disparition pure et simple d'une entreprise pas suffisamment solide.
Au passage, le cyber-assureur Hiscox rappelle, de façon pas tout à fait désintéressée, que les TPE/PME sont très peu assurées contre les cyber-risques.