La Commission européenne a mené une enquête sur l’impact de la cybercriminalité sur les petites et moyennes entreprises (PME). Les résultats, qui doivent donner une vue d’ensemble aux autorités policières, viennent d’être publiés ce 12 mai. 501 entretiens ont été menés auprès d’entreprises françaises entre le 26 novembre 2021 et le 17 décembre 2021.
Le piratage de comptes bancaires, première menace
Les PME sont les plus susceptibles d’être”très préoccupantes” par le piratage ou tentatives de piratage de comptes bancaires en ligne (29 %), le phishing, la prise de contrôle de compte ou l’usurpation d’identité (28 %), au même niveau que les virus, logiciels espions ou logiciels malveillants (hors ransomware) puis vient l’accès non autorisé à des fichiers ou à des réseaux (23 %). Globalement, la moyenne française se situe en dessous de la moyenne européenne. A titre d’exemple, les PME européennes ont répondu à 22% s’inquiètent des ransomwares, contre 16% pour les sociétés françaises.
Dans les faits, les PME françaises sont 19% à déclarer avoir été confrontées au moins à un incident cyber (ransomware, phishing, accès non autorisé aux fichiers ou aux réseaux, virus, attaques par déni de service…) durant l ‘année 2021. Encore une fois, elles se présentent en-dessous de la moyenne européenne qui de 28%. Ce qui ne signifie pas automatiquement qu’elles en ont subi moins. Elle les détecte peut être moins bien.
A propos des impacts de ce cyber incident, les PME françaises ont répondu à 33 % ont subi un surcroît de travail nécessaire pour répondre à l’attaque, à 20 % l’impossibilité d’utiliser les ressources ou les services et à 20 % également l’impossibilité pour les employés d’effectuer leurs tâches quotidiennes.
33 % n’ont pas prévu de personne à la suite d’une attaque
Beaucoup plus préoccupantes, les entreprises interrogées ont répondu à 33 % qu’elles n’avaient prévenu personne à la suite de la détection de l’incident de sécurité (contre 44 % pour la moyenne européenne). La preuve qu’il y a encore énormément de chemin à progression dans le signalement des attaques. La police et les vendeurs ou prestataires de services interviennent à la deuxième place, avant le fournisseur d’accès internet (FAI).
La majorité des répondants estiment que leurs employés sont assez bien informés aux risques liés à la cybercriminalité. Pourtant, ils sont 88 % à n’avoir proposé aucune formation ou sensibilisation aux risques de la cybercriminalité (contre 79 % pour la moyenne européenne) durant l’année 2021. Etant des cibles faciles, ce manque de considération doit alarmer dans un contexte d ‘explosion et de sophistication des attaques informatiques.
