Attaques informatiques : la France compte parmi les cibles de choix

Certains s’en réjouiront : la France compte manifestement parmi les cibles de choix pour les pirates. Pour preuve, la dernière édition de l’étude PwC sur l’état de la sécurité informatique. Selon celle-ci, les incidents de cybersécurité ont progressé de 51 % en France au cours des douze derniers mois, contre 38 % dans le monde. Dans un communiqué, Philippe Trouchaud, associé du cabinet spécialiste de la cybersécurité, précise que les entreprises de l’Hexagone « ont subi en moyenne 21 incidents/jour en 2015 ».

On regrettera toutefois que l’étude PwC ne réponde pas à au moins deux questions : les entreprises françaises constituent-elles de telles cibles de choix parce que leur sécurité est en retard ? La progression du nombre d’incidents déclarés n’est-elle pas simplement liée à l’amélioration des capacités de détection ?

Mais elle répond au moins indirectement à une autre : les entreprises de l’Hexagone seraient-elles de telles pépites que le monde entier s’attaque à leur propriété intellectuelle ? Et la réponse tend malheureusement à être négative, n’en déplaisent à ceux qui aimeraient trouver dans les indicateurs de PwC l’expression d’une valeur tout particulière.

De fait, confirmant les chiffres de ThreatMetrix, le cabinet relève que que « la source des menaces reste majoritairement interne aux entreprises ». Ainsi, les compromissions des entreprises françaises trouvent à plus de 34 % leur origine dans les employés, à 28 % dans les anciens employés, ou encore à près de 24 % dans les prestataires de services.

Pour Philippe Trouchaud, c’est bien simple : « les chiffres indiquent qu’une entreprise française sur 5 pense que ses concurrents sont potentiellement à l’origine de certaines attaques subies en 2015 ». Et d’ajouter que « ces derniers sont particulièrement attirés par les données de type propriété intellectuelle, les business plans, les données de R&D, etc. »

Récemment, ThreatMetrix indiquait que 51 % des activités informatiques malveillantes visant les entreprises françaises au second trimestre étaient le fait d’acteurs malicieux installés dans l’Hexagone. Alors soit la France a réussi à installer une ligne Maginot poussant des cybercriminels à la solde de concurrents internationaux à s’installer localement, ou bien les entreprises françaises s’avèrent particulièrement malveillantes les unes avec les autres, sans pour autant réussir à dégager une valeur significativement attirante pour des acteurs étrangers.

La bonne nouvelle de l’étude PwC est à chercher dans les budgets sécurité : en moyenne, pour les entreprises sondées, il s’établit cette année à 4,8 M€, soit une progression de 29 %. Mais il est tentant d’y voir un effet rattrapage car, selon le cabinet, les pertes financières induites par les incidents de sécurité sont en moyenne de 3,7 M€ par entreprise, soit une progression de 28 % par rapport à 2014.

Le fait que 46 % des entreprises sondées – dans le monde entier – indiquent ne pas avoir de RSSI plaide en faveur de cette analyse, de même que celui selon lequel 55 % des comités exécutifs ne participent pas à la définition de la stratégie de sécurité informatique : la maturité n’est pas encore là et les entreprises cherchent à investir pour rattraper leur retard face aux menaces.

Investir certes, mais également se couvrir dans une approche assurantielle : 59 % des organisations ont, selon PwC, souscrit une assurance contre les risques liés aux attaques informatiques. Un choix pragmatique, alors que tout les experts s’accordent pour reconnaître qu’une protection absolue n’est pas possible, mais peut-être aussi un moyen de chercher à réduire le risque financier en attendant de réduire pouvoir plus efficacement réduire le risque technique…