Les cyber-attaques : Les conseils d'administration doivent agir
Une grande entreprise sur deux a déjà été victime d'une cyber-attaque. Dans de nombreux cas, la conséquence est une interruption de l'activité. La 14e édition du swissVR Monitor de Deloitte le montre : bien que la conscience des risques augmente, de nombreuses entreprises ne disposent pas d'une cyberstratégie clairement formulée. Le cas d'urgence n'est que rarement répété et le reporting de la direction au conseil d'administration doit également être amélioré, conclut l'enquête.
La menace des cyber-attaques ne cesse de croître. Les grandes entreprises sont particulièrement concernées : 45% des entreprises de plus de 250 collaborateurs ont déjà été victimes d'une cyberattaque au moins une fois. C'est ce que montre le dernier swissVR Monitor, une enquête semestrielle menée par l'association des conseils d'administration swissVR en coopération avec la société d'audit et de conseil Deloitte Suisse et la Haute école de Lucerne. Pour cette étude, 400 membres de conseils d'administration ont été interrogés sur le thème central de la "cyber-résilience".
Contrairement aux grandes entreprises, les PME semblent nettement moins touchées : Seules 18 % des entreprises de moins de 50 employés font état d'une attaque grave. Le lien entre la taille de l'entreprise et la fréquence des attaques est évident : les grandes entreprises sont globalement plus exposées et offrent de plus grandes surfaces d'attaque aux cybercriminels. Une autre explication de la prétendue moindre implication des petites entreprises est l'absence partielle de reporting sur de tels incidents vis-à-vis du conseil d'administration.
L'interruption de l'exploitation est la conséquence la plus fréquente
Les cyberattaques ont souvent de graves conséquences sur les activités opérationnelles. La conséquence de loin la plus fréquente est l'interruption de l'activité. C'est le cas pour 42 % des entreprises touchées par une cyberattaque (voir graphique 1). Les processus opérationnels des entreprises du secteur des technologies de l'information et de la communication sont particulièrement menacés. Dans ce secteur, 69 pour cent des personnes touchées ont subi une interruption de leur activité. Les fuites de données et les dysfonctionnements de produits ou de services sont également des conséquences fréquentes. Les cyberattaques ont même parfois des conséquences en dehors de l'entreprise elle-même : 11 % des personnes interrogées déplorent ainsi des attaques consécutives contre des clients. Bien que la fuite des actifs soit rare, les conséquences financières ne doivent pas être sous-estimées. Outre les pertes de chiffre d'affaires dues aux interruptions d'activité, les coûts consécutifs risquent d'être élevés, par exemple pour la restauration des données.
La résilience face aux cyber-attaques gagne fortement en importance
Les conséquences importantes le montrent clairement : chaque PME doit se préoccuper des cyber-risques. "Ce thème fait aujourd'hui partie intégrante d'une bonne gouvernance d'entreprise. Il est réjouissant de constater que de nombreuses entreprises en ont déjà pris conscience. Mais il y a encore du potentiel. Notre enquête montre que la cyber-résilience gagne fortement en importance, tous secteurs confondus. Cela doit également se refléter dans la gestion des risques et le processus stratégique de chaque entreprise", explique Mirjam Durrer, chargée de cours à la Haute école de Lucerne à l'Institut für Finanzdienstleistungen Zug IFZ. 95 pour cent des membres de conseil d'administration interrogés estiment que l'importance de la cyber-résilience pour leur entreprise a augmenté au cours des trois dernières années. La majorité observe même une forte augmentation, l'évaluation dépendant essentiellement de la taille de l'entreprise. Ici aussi, la corrélation entre la taille et le niveau de menace se reflète.
La cybersécurité n'est pas encore partout l'affaire des chefs
Point positif : les conseils d'administration déclarent assumer en grande partie leurs tâches en matière de cyber-résilience. 85% des personnes interrogées affirment que leur conseil d'administration suit les tendances et les développements actuels dans le domaine de la cyber-résilience (voir graphique 2). De même, huit comités sur dix disposent d'une politique de risque qui aborde les cyberdangers. Malgré tout, il est nécessaire d'agir, souligne Klaus Julisch, responsable Risk Advisory chez Deloitte Suisse : "La prise de conscience des risques augmente, ce qui est positif. Cela dit, le sujet n'a pas encore été abordé partout dans les conseils d'administration. De même, près de la moitié des entreprises n'ont pas de cyberstratégie claire. Les entreprises suisses et leurs conseils d'administration doivent donc prendre encore plus de responsabilités dans l'optique de la cyber-résilience".
Seul un tiers des jeunes s'entraîne
La préparation aux situations d'urgence peut également être améliorée. Seul un membre de conseil d'administration sur trois confirme que l'organe du conseil d'administration promeut au moins partiellement la gestion de crise. La situation est un peu meilleure dans l'industrie financière : environ une entreprise sur deux de ce secteur organise régulièrement des formations de crise. En outre, l'industrie financière enregistre le pourcentage le plus élevé de cyber-assurances conclues, avec 58 %.
Il existe également un potentiel d'amélioration en ce qui concerne les rapports au conseil d'administration : seul un tiers environ des personnes interrogées est régulièrement informé par la direction sur les principaux risques cyber ou sur sa propre cyberstratégie. Une bonne moitié des membres du conseil d'administration reçoit tout de même un rapport sur l'état général des menaces, sur les cyberattaques actuelles au sein de l'entreprise ou sur les actions et les investissements nécessaires pour renforcer la cyber-résilience.
Source : Deloitte
