Les PME françaises peinent à améliorer leur sécurité informatique

Sept mois après l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD), les actions menées par les PME françaises en vue de renforcer leur sécurité numérique restent insuffisantes, montre l’enquête publiée aujourd’hui par le groupe d’assurance-crédit Euler Hermes et le spécialiste de la cybersécurité Kaspersky Lab. Réalisée début novembre auprès d’un échantillon de 702 entreprises de moins de 500 salariés tous secteurs d’activité confondus, elle indique que 45% des décideurs interrogés ont admis ne pas avoir pris de mesures visant à renforcer leur sécurité numérique, cette proportion atteignant 52% pour les entreprises de moins de 250 personnes.

Malgré ces nouvelles obligations réglementaires, 77% des PME interrogées n’ont réalisé aucun audit informatique cette année, ce chiffre culminant à 82% dans le secteur des services qui traite pourtant le plus de données personnelles sur les clients. Près d’un responsable sur deux (48%) considère que ces règles ne sont pas adaptées aux contraintes de l’entreprise. Seulement 52% d’entre eux ont déclaré être informés des actions de sensibilisation déployées par les autorités publiques (gouvernement, CNIL, ANSSI…) en matière de cybersécurité et 19% ont déjà prévu d’y consacrer des investissements l’an prochain.

«Le secrétaire d’Etat au numérique, Mounir Mahjoubi, a annoncé en octobre dernier un plan destiné à 2 millions de PME et de TPE afin de diffuser les bonnes pratiques dans ce domaine, neuf mois après le lancement de la plate-forme cybermalveillance.gouv.fr qui vise les publics jugés particulièrement vulnérables», relève Tanguy de Coatpont, directeur général France de Kaspersky Lab.

Ce manque de prévention est d’autant plus étonnant que 76% des PME consultées (89% dans le secteur du commerce) estiment que la sécurité informatique est un sujet d’inquiétude, 21% d’entre elles ayant d’ailleurs été victimes d’une cyberattaque durant les 12 derniers mois. Pour 64% des entreprise touchées, le coût moyen de ces attaques demeure inférieur à 10.000 euros, mais il dépasse 100.000 euros dans 6% des cas.

«L’utilisation de ‘rançongiciels’ permet de viser un très grand nombre d’entreprises en leur extorquant de petits montants unitaires, ce qui fait que la cible ne songera pas systématiquement à déposer plainte», explique à L’Agefi Sébastien Hager, responsable de la souscription assurance fraude chez Euler Hermes France. Il souligne également que «les systèmes d’information, plus complexes, et les nouveaux modes de connexion nécessitent l’ouverture d’accès aux partenaires extérieurs»

Face au risque de cyberattaque, la divulgation d’informations confidentielles arrive en tête des préoccupations de ces PME, devant l’impact négatif sur la réputation de l’entreprise, la perte de chiffre d’affaires, les pertes financières directes et la cyberextorsion. «Le manque de ressources disponibles et de compétences internes explique en partie le décalage entre les inquiétudes exprimées et les actions engagées», estime Sébastien Hager.

Seulement 51% des salariés des sociétés de l’échantillon ont été formés au moins une fois aux questions de cybersécurité, les efforts étant plus importants dans l’industrie où 65% d’entre eux ont fait l’objet d’une formation. Si 43% des PME sont déjà assurées contre ce risque, 30% prévoient de souscrire une police à l’avenir, alors que 27% n’ont pas l’intention de le faire.

Interrogées sur les technologies considérées comme porteuses d’opportunités sur les deux années à venir, elles placent la sécurité informatique en deuxième position derrière l’analyse des données, avec respectivement 39% et 47% des réponses. Suivent les objets connectés (36%), puis l’informatique en nuage, l’intelligence artificielle et la robotisation, citées chacune par environ 30% des entreprises.