Le niveau de maturité cyber des TPE et PME jugé « préoccupant » selon une étude récente de Cybermalveillance.gouv.fr. Malgré une prise de conscience des risques, ces entreprises peinent à encore se protéger efficacement, soulignant le manque de ressources et d'expertise.
Ce n’est pas un scoop, les TPE et PME sont régulièrement pointées du doigt pour leur vulnérabilité cyber, même si certaines études tendent à souligner quelques améliorations. Dans l’optique de les inciter à se protéger, Cybermalveillance.gouv.fr, le Club EBIOS, la CPME, le MEDEF et l’U2P se sont réunis dans un groupe de travail et ont lancé un programme en trois volets afin d’évaluer le niveau de maturité cyber des TPE et PME. Première pierre à l’éditifce, une étude réalisée par Opinion Way dont les résultats viennent d’être présentés.
2000€ par an pour la cyber
« Cette étude dresse un état des lieux préoccupant du niveau de maturité cyber des TPE-PME […] C’est en ce sens que nous avons lancé l’opération ImpactCyber. Cela fait partie de notre mission d’intérêt public de les accompagner dans cette voie avec des prestataires de confiance et des services tels que Mon ExpertCyber », a déclaré Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr, cité dans un communiqué.
Il en ressort que la gestion de l’informatique est du ressort du chef d’entreprise (82 %) ; 72 % ne disposent d’aucun salarié dédié, et leur budget en sécurité informatique est de moins de 2 000 € par an pour 68 % d’entre eux. Pour 53 % de ces entreprises, les salariés utilisent des moyens personnels à des fins professionnelles : pour 95 % d’entre eux, leur téléphone portable, pour 34 %, leur ordinateur, et pour 28 %, leur messagerie personnelle.
46 % des entreprises soulignent en outre les nombreux obstacles qui se dressent pour atteindre un bon niveau de maturité : le manque de temps (60 %), le manque de connaissances/expertise (56 %), le manque de budget (53 %), et le fait de ne pas savoir vers qui se tourner (34 %). Résultat : 6 entreprises sur 10 (61 %) se disent faiblement protégées.
Consciente du risque mais…
Les TPE et PME, si elles sont conscientes des risques, sous-estiment encore les enjeux. Ainsi, 6 entreprises sur 10 estiment que le sujet doit mobiliser tout le monde. « Plus de la moitié (55 %) d’entre elles sensibilisent leurs collaborateurs, davantage encore dans les grandes entreprises (79 % des entreprises de 50 salariés et plus, et 71 % des entreprises de 10 à 49 salariés) », peut-on lire dans le communiqué. Paradoxalement, si les entreprises semblent être conscientes du risque cyber, 62 % se pensent faiblement exposées aux risques de cyberattaques. Près de 80 % s’estiment insuffisamment préparées, et 7 entreprises sur 10 n’ont pas de procédure de réaction.
Côté équipement, ce n’est pas fameux non plus. 7 entreprises sur 10 disent connaître des solutions de sécurité, mais une sur deux (53 %) ne sait pas si elles sont adaptées à leurs besoins (42 %), et 11 % pensent qu’elles ne le sont pas. Malgré cela, 10 % seulement prévoient d’augmenter leur budget cybersécurité. Pas ou mal équipées, les TPE-PME se disent aussi peu préparées en cas d’attaques : 65 % se disent incapables d’en évaluer les impacts si une cyberattaque survenait.