Cyber-sécurité dans les TPE-PME : comment passer de la prise de conscience aux actes ?

Cyber-sécurité dans les TPE-PME : comment passer de la prise de conscience aux actes ?

Cyber-sécurité dans les TPE-PME : comment passer de la prise de conscience aux actes ? 550 240 Exponens

Cyber-sécurité dans les TPE-PME : comment passer de la prise de conscience aux actes ?

Publié le 23/09/2019

La cyber-sécurité est de plus en plus souvent à la une des journaux et fait l’objet de nombreux rapports tandis que le RGPD a mis un accent accru sur la nécessité de bien gérer et protéger les données personnelles. Les grandes entreprises prennent des mesures de protection et de prévention, forment leurs salariés, … mais qu’en est-il des PME et TPE qui forment l’essentiel du tissu économique français ?

Le cabinet EXPONENS, l’un des plus importants groupes franciliens d’expertise-comptable et de services aux entreprises, a interrogé 5 000 clients pour en savoir plus.

Le RGPD, une réglementation pas encore intégrée

Un an après son entrée en vigueur, seuls 25% des répondants affirment être en conformité avec le RGPD tandis que 27% poursuivent leurs travaux. 10% des répondants n’ont pas encore commencé leurs travaux et 5% déclarent ne pas vouloir le faire.

Plus ennuyeux, 32% des répondants déclarent ne pas savoir où en est leur entreprise, ce qui soulève une question de communication interne sur le RGPD, et plus généralement sur la sensibilité de tous les salariés à la protection des données personnelles.

Cette méconnaissance se confirme en observant que 20% affirment avoir terminé la cartographie des traitements de données personnelles, soit 5 points de moins que ceux qui affirment être en conformité, alors que ce travail est un préalable indispensable ! 30% sont en train de le faire, 29% n’ont pas commencé et là encore 22% des répondants ne savent pas.

En ce qui concerne le délégué à la protection des données personnelles ou DPO, 40% des entreprises en ont nommé un, plutôt en interne (32%) qu’en externe (8%), 18% prévoient de le faire mais 22% ne prévoient pas de le faire tandis que 20% disent ne pas être concernées, ce qui est effectivement possible.

Intégrer le RGPD, c’est aussi et surtout prendre en compte la protection des données personnelles dans sa manière de fonctionner avec ses salariés, ses clients, ses sous-traitants, … Seules 10% des entreprises ont revu avec un avocat leurs conditions générales de vente, leurs contrats de travail, leurs contrats de sous-traitance, et 16% sont en train de le faire. Mais 73% ne prévoient pas cette démarche. Est-ce parce qu’elles disposent des compétences en interne ou bien plutôt parce qu’elles n’ont pas encore compris que c’était nécessaire ?

Il reste donc bien du chemin à parcourir pour se mettre en conformité et ensuite pour passer de la conformité formelle à une véritable prise en compte de la protection des données personnelles dans sa pratique.

Des entreprises sensibilisées et victimes de la cybercriminalité

Au-delà du RGPD qui fait encore l’actualité, notre questionnaire portait plus généralement sur la cybercriminalité. 89% des TPE et PME qui ont répondu connaissent la problématique de la cybercriminalité et ses conséquences possibles.
Cette connaissance est loin d’être purement théorique puisque 51% des entreprises déclarent avoir subi une ou plusieurs cyberattaques : fraude à l’usurpation d’identité (29%), cybercriminalité (26%), cyberdéstabilisation (11%), cyberespionnage (8%).

Conscientes de ce danger, 75% des entreprises se protègent : d’abord en sensibilisant leurs collaborateurs avec la diffusion d’informations et de bonnes pratiques (39%) et la formation permanente (33%), puis en ayant recours à des moyens techniques tels que les antivirus, les firewalls, les logiciels de cyberdéfense (33%). Troisième levier, malheureusement moins utilisé : le renforcement des procédures de contrôles interne (27%) et l’audit du système d’information (16%).

Signe tangible de cette prise de conscience, 75% des entreprises déclarent désormais intégrer la sécurité informatique à leur prise de décision.

Une gestion du risque cyber loin des standards de la gestion du risque dommages

Pour parer aux conséquences d’une attaque, seulement 35% des entreprises disposent d’un plan de reprise informatique, et 5% y travaillent. 60% n’en ont donc pas et se mettent en risque… alors même que 9% ont déjà subi une attaque !

Seules 8% des entreprises ont simulé une crise informatique avec leurs salariés. Seules 25% ont un avocat à même de les aider à déterminer leurs responsabilités et celles d’autres intervenants en cas de crise informatique. En cas de fuite de données personnelles consécutive à une attaque, 28% peuvent prévenir les personnes concernées dans les 72h, 25% y travaillent, 47% en sont incapables.

La gestion du risque informatique est donc bien loin des niveaux de performance nécessaires et encore très loin de ce que ces mêmes entreprises savent faire pour faire face aux autres types de dommages que peut subir l’entreprise.

L’assurance cyber, la grande absente

Signe tangible du décalage entre le risque cyber et les autres risques dommages que connaît l’entreprise comme l’incendie, le vol, le dégât des eaux, … moins de 4% des répondants ont souscrit un contrat d’assurance contre les risques cyber.

Si 32% prévoient de le faire, 64% n’en voient pas l’intérêt. Ceci montre combien les assureurs et les intermédiaires d’assurance doivent encore convaincre de l’intérêt pratique et financier de cette couverture. Même ceux qui ont souscrit un contrat montrent dans leurs réponses sur les garanties offertes qu’ils ne connaissent pas bien les garanties et les services apportés…

Le marché de l’assurance cyber pour les TPE et PME reste donc encore un marché de conquête, malgré la prise de conscience de la réalité du risque. Gageons que ces couvertures et plus généralement la gestion du risque cyber progressera au fur et à mesure que les grandes entreprises l’imposeront, via leurs contrats de sous-traitance et les exigences posées dans leurs appels d’offres.

À propos de l’auteur

Philippe DELERIVE est un expert de la gestion du risque et des assurances au sein du groupe Exponens, où il dirige le pôle Risques & Assurances.

    Le respect de votre vie privée est notre priorité

    Afin d'assurer certaines fonctionnalités importantes (sécurité de notre site, analyse du trafic, partage de contenus sur les réseaux sociaux, lecture de vidéos, géolocalisation, ...), notre site internet utilise des cookies proposés par des sites ou services tiers. Vous pouvez choisir d'activer ou de désactiver l'utilisation de ces cookies, service par service.

    Ces réglages sont uniquement valables sur l'équipement et la navigateur que vous utilisez actuellement.

    Le site Exponens.com utilise des cookies pour le fonctionnement des boutons de partage sur les réseaux sociaux et la mesure d'audience des vidéos et des pages de notre site. En poursuivant votre navigation sur ce site, vous acceptez leur utilisation. Pour en savoir plus, vous pouvez lire notre politique de confidentialité.