38% des entreprises belges ont été hackées l'année dernière d'après l'étude Cyber Risk de Marsh

08 octobre 2015

Près de 4 entreprises belges sur 10 ont été hackées l’année dernière. Les sociétés estiment leurs pertes financières à plus de 5 millions d’euros par incident. C’est ce qui ressort de la première European Cyber Risk Survey de Marsh, l’un des principaux acteurs mondiaux dans le domaine du courtage en assurances et en gestion de risques.
Le rapport comporte une section consacrée au marché belge. Cela donne une image précise de la situation en matière de cyber-risques au sein des entreprises locales. Il en ressort que les sociétés belges sont plus avancées que leurs homologues européens en matière de sensibilisation, de stratégies de gestion de risques et d’assurances cyber. Il reste en revanche du chemin à parcourir au niveau de l’identification des cyber-menaces.

Top 10 des menaces, pas de top 10 des solutions
Presque la moitié (47%) des entreprises belges interrogées considère les cyber-risques comme une menace du Top 10. La moyenne européenne est de 28%. Chez nos voisins hollandais et français, ils sont 20% à placer les cyber-risques dans le Top 10 des menaces, 32% en Allemagne et 29% au Royaume-Uni. Seulement 15% des répondants belges admettent avoir une connaissance limitée, ou nulle des cyber-risques. C’est la moitié de la moyenne européen (30%). 66% affirment avoir une connaissance de base dans ce domaine. Les institutions financières constituent une exception. Mais seules 50% d’entre elles comprennent exactement de quoi il s’agit.
«En ce qui concerne la conscientisation autour de cette problématique, les sociétés belges sont clairement en avance par rapport à leurs homologues européens», commente Véronique Franken, Practice Leader, Financial & Professional Risks pour la Belgique et le Luxembourg chez Marsh. «Si nous nous penchons sur la façon dont elles traitent les cyber-risques, il y a encore une large marge de progression. Ainsi, pas moins de 71% des entreprises belges interrogées considèrent que les cyber-risques relèvent exclusivement de la responsabilité de l’IT. La moyenne européenne est, à ce niveau, plus basse, avec 65%. Cela illustre simplement que trop de sociétés pensent qu’elles sont protégées contre le hacking tant qu’elles disposent de la bonne technologie en interne. Rien n’est moins vrai. Personne n’est ‘safe’ à 100%. Encore plus frappant: seulement 6% des entreprises y impliquent le management. Alors que ce sujet devrait pourtant figurer tout en haut de l’agenda ‘risques’ des équipes dirigeantes.»
Il est encore plus frappant de constater que 76% des sociétés interrogées en Belgique n’ont jamais eu à soumettre une norme de qualité en matière de cyber-sécurité (contre 67% en Europe). La raison? La réglementation européenne à ce niveau est encore en plein développement. Aucune norme internationale de qualité  n’est actuellement en vigueur. D’un autre côté, 43% des répondants belges indiquent évaluer leurs fournisseurs. C’est bien plus que la moyenne européenne de 23%. Ce pourcentage varie selon le secteur d’activité et atteint 33% pour le secteur des soins de santé, et 13% pour l’industrie.
Quelle est la menace la plus importante?
7 entreprises belges sur 10  ont déjà identifié un ou plusieurs cyber-incidents (contre 57% en Europe). Sans surprise, les institutions financières, qui sont une cible privilégiée pour les hackers, se démarquent: pas moins de 80% d’entre elles ont déjà identifié des menaces cybernétiques dans leur société. «Le secteur du commerce de détail est également performant en la matière», explique Anne-Sophie Coppens, Senior Client Advisor, Financial & Professional Risks pour la Belgique et le Luxembourg chez Marsh, «mais d’autres secteurs sont à la traîne. Dans le secteur des soins de santé, 67% des entreprises en Belgique n’ont pas encore identifié les menaces cybernétiques les plus importantes. Un constat préoccupant étant donné la nature sensible des données et informations dans ce secteur. »
En Europe, le Top 3 des menaces les plus importantes comprend les menaces internes (par exemple son propre personnel) (29 %), les erreurs opérationnelles (y compris la perte d’appareils mobiles) (28%) et les hacktivistes (23%). Pour les sociétés belges également, les menaces internes constituent le plus gros risque (29%), suivi par le crime organisé (23%) et les hacktivistes (23%). Le Top 5 est complété par les erreurs opérationnelles (20%) et le terrorisme ou  les attaques par d’autres états (6%).
En Belgique, tant les institutions financières que le secteur retail considèrent le crime organisé comme la menace n°1. Les entreprises actives dans la communication, les médias et les technologies voient plutôt les interruptions d’activité comme le scénario le plus probable. Le secteur financier craint par ailleurs la fraude. L’industrie pharmaceutique se fait le plus de souci quant à la perte de la propriété intellectuelle.
Les pertes financières sont sous-estimées
Il ressort de l’étude qu’une sensibilisation plus élevée aux cyber-risques combinée aux mesures nécessaires en matière de gestion des risques semblent déjà porter ses fruits en Belgique, qui affiche un meilleur ‘hack record’. Là où la moitié des répondants européens admet avoir été victime d’une cyber-attaque au cours des 12 derniers mois, le pourcentage n’est que de 38% en Belgique. Ce pourcentage est encore plus élevé dans le secteur financier, avec 80%, dans le secteur des soins de santé (67%) et le commerce de détail (50%). En Allemagne, 13% des entreprises ont fait face à une cyber-attaque, 25% en France, 30% aux Pays-Bas et 40% au Royaume-Uni. Pour l’Europe, c’est l’Irlande qui semble la plus ‘hackproof’. Pas moins de 92% des sociétés interrogées déclarent n’avoir connu aucune cyber-attaque; les 8% restants ne peuvent l’affirmer avec certitude.
Véronique Franken: «En tenant compte de ces chiffres et du fait que les entreprises considèrent les cyber-risques comme l’une des menaces les plus importantes pour leurs activités, il est surprenant de voir que seulement 56% des sociétés dans notre pays, et 68% en Europe, font des prévisions quant à l’impact potentiel d’une cyber-attaque éventuelle. Il peut vraiment y avoir d’énormes conséquences. Songez aux pertes de données, aux fuites d’informations relatives aux clients, aux interruptions d’activité, aux dégâts sur l’image, au vol de propriété intellectuelle, etc… Parmi les sociétés qui ont réalisé une projection, la moitié pense que la perte financière peut dépasser les 5 millions d’euros. Si les entreprises n’ont aucune idée du possible impact financier, comment peuvent-elles savoir si elles sont capables de surmonter une cyber-attaque? Ont-elles la capacité financière pour absorber la perte, ou sont-elles couvertes par une assurance?»
56% des répondants belges indiquent n’avoir aucune solution de trésorerie rapide en cas d’incident. 68% affirment avoir un plan de back-up partiel ou complet, contre 33% en Europe.
Enfin, seulement 18% des entreprises belges disposent d’une assurance cyber. Cela reste encore plus élevé que la moyenne européenne qui est de 12%. 46% des répondants ne comptent pas conclure une telle assurance dans le futur. Pour 31% des entreprises interrogées (et 83% des institutions financières), une assurance cyber n’est qu’une partie de la solution.


Source: Marsh

Laissez une réponse

Votre adresse email ne sera pas publiée. Les champs obligatoires sont indiqués *