Bannière blog avec le logo Torii Security ?>
PME Statistiques

Sommaire

par Torii Security

Mis à jour le 13 juillet 2023

7 statistiques sur la cybersécurité des PME – édition 2023

Saisir l’ampleur des cybermenaces sur les PME passe par l’analyse des statistiques.
Véritables révélateurs de la situation, elles éclairent sur l’importance de la menace et guident les approches stratégiques de défense pour une protection optimale.

Les cyberattaques, de plus en plus nombreuses et fréquentes, ne cessent de gagner du terrain et représentent une menace constante.

L’exemple récent du groupe de cybercriminels LockBit, responsable de près d’un tiers des attaques par ransomware détectées en 2022, illustre parfaitement l’ampleur du problème.
Le groupe est impliqué dans 846 attaques, soit une augmentation de 94% par rapport à l’année précédente.

Ces attaques ont des conséquences dévastatrices, aussi bien en termes financiers qu’opérationnels, avec des perturbations pouvant aller jusqu’à l’arrêt total de l’activité.

L’impact économique d’une cyberattaque ne se limite pas à une potentielle rançon ou une fuite de données.

Les frais de remédiation, les pertes de chiffres d’affaires, les dommages réputationnels, les pénalités réglementaires et la perte de confiance des clients peuvent faire grimper la facture à des niveaux inédit.

Par ailleurs, ne sous-estimons pas l’impact opérationnel.
Les cyberattaques peuvent perturber les processus internes, paralyser les systèmes d’informations et même interrompre complètement l’activité, portant préjudice à l’ensemble de l’entreprise : sa productivité, ses chaînes d’approvisionnement, son service client, son image, etc.

Face à cette menace omniprésente et en constante évolution, les entreprises de toutes tailles doivent se doter des meilleurs outils pour protéger leurs systèmes d’information.

C’est un enjeu crucial pour leur pérennité et leur développement.

Alors, quelles sont les statistiques marquantes de la cybersécurité des PME paru en 2023 ? Face à ces chiffres, comment les PME peuvent-elles évaluer et renforcer leur sécurité informatique ?

C’est ce que nous allons voir dans cet article.

1 entreprise sur 2 victime d’une cyberattaque en 2023

La cybersécurité reste un défi de taille pour les entreprises françaises.

Nous l’avons vu dans l’intro, au-delà du simple fait d’être une cible, ces incidents de sécurité ont des conséquences dévastatrices :

  • Perturbation ou arrêt d’activité
  • Perte de données sensibles
  • Atteinte à la réputation de l’entreprise
  • Coûts financiers importants liés à la remédiation et au renforcement de la sécurité
  • Etc.

Toutefois, une tendance à la baisse se dessine.

Si en 2020, 57% des entreprises subissaient au moins une cyberattaque, ce chiffre a baissé à 54% en 2021 et à 45% en 2022 selon le CESIN dans le baromètre 2023 de sa 8ème enquête OpinionWay.

Cette diminution est loin d’être anodine et s’explique par les efforts et les progrès significatifs réalisés par les entreprises dans le domaine de la cybersécurité.

La définition d’”incident de sécurité” s’est également précisée et affinée au fil du temps, permettant une meilleure compréhension et gestion de ces événements.

C’est cette double dynamique qui a permis cette évolution de la perception des cybermenaces et a contribué à la baisse de leur impact.

Même si les entreprises font des progrès, le risque zéro n’existe pas. Pour minimiser ce risque, des mesures proactives et préventives doivent être prises.

L’une des solutions les plus efficaces est de réaliser des tests d’intrusion réguliers . Ces pentests permettent de détecter les vulnérabilités avant qu’elles ne soient exploitées par des pirates.

On ne le répètera jamais assez , l’importance de la cybersécurité ne peut être sous-estimé. Elle doit être intégrée dans la stratégie de sécurité globale de l’entreprise.

Cyberattaques : Les PME, cibles privilégiées

En 2022, les PME françaises ont été au cœur du viseur des pirates, avec une explosion des attaques réussies.
Le cabinet Asterès, dans son étude pour le CRiP (Club des Responsables Infrastructures, Technologies et Production IT), a évalué à 385 000 le nombre total de cyberattaques réussies contre des organisations françaises, dont un inquiétant 86% ciblant directement les PME.

Une estimation de 330 000 attaques réussies sur les PME, pour être précis.

Il est intéressant de noter que seules 831 attaques ont été officiellement rapportées à l’ANSSI. Ces chiffres ne concernant que les OIV et OSE, le reste du nombre d’attaques réussies concerne les PME traditionnelles.

Cette disparité souligne que les cyberattaques touchent toutes les entreprises, quelle que soit leur taille et leur activité.
Elle peut également refléter le fait que l’ANSSI manque probablement de visibilité sur la réalité de la cyberattaque pour les PME.

Pour répondre à ces défis, les PME doivent adapter leur approche de la cybersécurité.

Cela commence par une sensibilisation accrue et la considération de la cybersécurité comme un élément stratégique, pas juste une contrainte technique ou un coût.

Un accent particulier devrait être mis sur la détection des malwares, compte tenu de leur prévalence croissante.

La stratégie de cybersécurité de chaque PME doit être personnalisée pour répondre efficacement à ces menaces.

Faire un diagnostic

Le phishing, le fléau des PME

Le CESIN révèle dans son baromètre 2023 que 74% des entreprises touchées par des cyberattaques identifient le phishing comme vecteur de compromission initial.

Les cybercriminels se font passés pour des acteurs de confiance – votre banque, votre fournisseur ou même votre patron.
Un simple clic sur un lien et tout votre système d’information, vos données sont entre les mains des pirates.

Face à la vigilance croissante, les cybercriminels ne cessent d’innover et d’adapter leurs techniques.
Une des tendances notables est la “fraude au président”, une forme d’hameçonnage qui cible spécifiquement les cadres et dirigeants d’entreprise.

Les pirates se font passer pour un haut responsable de l’entreprise pour tromper les employés ou les partenaires et les inciter à effectuer des transactions financières ou à révéler des informations sensibles.

Cette technique d’ingénierie sociale (social engineering) exploitant la confiance et l’autorité au sein de l’entreprise, est particulièrement redoutable et efficace.

D’ailleurs, les hauts dirigeants, dépositaires d’informations vitales pour l’entreprise, deviennent une cible de choix….
Hiscox nous apprend aussi, grâce à une simulation, que 36% des cadres supérieurs tombent dans le piège du phishing.
Deux fois plus que celle réalisée sur les salariés !

La parade ? La formation !

Chaque collaborateur doit comprendre les rouages du phishing pour mieux le contrer. Les cadres, aimant à pirates, en tête de liste bien sûr !

La seconde clé de voûte de la riposte ? Les outils technologiques.

Anti-spam, authentification à deux facteurs, EDR/XDR… autant de sentinelles pour votre cybersécurité.

Et surtout, faites vous accompagner d’un professionnel de la sécurité des systèmes d’information !

Rançongiciels : le défi des PME

Le rançongiciel est sans doute la menace la plus probable pour les entreprises. Imaginez… un malfaiteur s’introduit dans votre entreprise, copie toutes vos données, détruit les originaux. Le seul moyen de repartir ? Payer une rançon (?!) C’est le principe du rançongiciel (ransomware)

Aujourd’hui, les attaquants ne se contentent de bloquer vos données, mais les divulguent également. Cette double extorsion entraîne une violation de la confidentialité qui peut avoir des conséquences irrémédiables…

Selon l’ANSSI, 2 PME sur 5 sont touchées par ce fléau (40%).

Et seules 59% des entreprises parviennent à récupérer leurs données après une attaque de ransomware selon le rapport d’Hiscox 2023.

Bien que nous vous le déconseillons fortement, si vous décidez de payer la rançon, sachez que ce n’est pas une garantie de sécurité.
En effet, 1 entreprise sur 3, qui a payé une rançon, a subi une nouvelle attaque par la suite.

Face au ransomware, une approche combinant audit, formation et gestion de crise est essentielle.

D’abord, la réalisation régulière d’évaluation de sécurité (audits, scans de vulnérabilité, tests d’intrusion) peut révéler les vulnérabilités avant que les attaquants n’en profitent. C’est une étape cruciale !

Ensuite (encore et toujours), la formation des employés est vitale. Il s’agit de les sensibiliser aux signes d’une attaque par ransomware et aux bonnes pratiques pour l’éviter.

Enfin, un plan de réaction en cas d’incident cyber. Savoir comment réagir face à une attaque peut limiter les dégâts et accélérer la reprise d’activité.

Il s’agit non seulement de se prémunir des attaques, mais aussi de pouvoir réagir de manière efficace et organisée lorsqu’elles surviennent.

Pensez également à contracter une cyber assurance pour vous couvrir au mieux en cas d’incident.

Les conséquences des fuites de données

Une intrusion ne résulte pas toujours de l’exploitation d’une faille technique. Bien souvent, c’est une information précieuse, acquise illégalement, qui ouvre la voie.

Ces informations ( mots de passe, comptes valides, etc.), donnent aux pirates un avantage précieux.
Elles leur permettent d’échapper aux systèmes de défense et d’accéder aux ressources internes de l’entreprise avec beaucoup plus de facilité.

Selon IBM dans son dernier rapport 2023, près de 19% des intrusions sont attribuables à des vols ou fuites de données préalables.

En d’autres termes, les informations sensibles, dérobées ou même exposées, sont exploitées par les cybercriminels pour accéder directement à vos systèmes d’informations et à vos données.

Une seule intrusion utilisant des données volées peut compromettre entièrement la sécurité d’une entreprise et entraîner des conséquences financières et de réputation dévastatrices.

C’est pourquoi, il est crucial de ne pas sous-estimer la gravité et les impacts de ces cyberattaques.

Ces données volées peuvent être utilisées pour s’introduire dans votre SI avec des identifiants valides, rendant les mesures traditionnelles de sécurité inefficaces.

Pour répondre à ce problème, une stratégie de sécurité centrée sur la protection des données est essentielle. Cela peut comprendre l’implémentation de contrôles d’accès rigoureux, une gestion solide des identités et des audits de sécurité réguliers.

Le coût des cyberattaques en forte hausse

Le monde numérique d’aujourd’hui offre d’immenses opportunités pour les entreprises.

En revanche, il apporte aussi son lot de défis, et l’un d’eux est le coût des cyberattaques qui ne cesse d’augmenter, devenant ainsi un enjeu financier majeure pour les organisations.

Selon les derniers chiffres d’Hiscox, le coût médian d’une cyberattaque a connu une hausse significative pour atteindre près de 15 300€ en 2022.

L’augmentation est frappante, avec une augmentation de 29% par rapport à l’année dernière.

L’escalade du coût peut être attribuée à différents facteurs :

  • La sophistication croissante des attaques : les pirates déploient des techniques de plus en plus élaborées, ce qui nécessite des efforts de plus en plus importants pour les détecter et les neutraliser.
  • La dépendance accrue aux technologies : à mesure que les entreprises se numérisent, elles deviennent plus vulnérables aux attaques.
  • L’évolution de la réglementation : les normes de protection des données se durcissent, augmentant le coût de la conformité et les pénalités en cas de violation.

Cette statistique sur le coût des cyberattaques souligne l’urgence d’investir dans la cybersécurité pour les PME.

Il ne s’agit plus d’un luxe mais d’une nécessité pour garantir la pérennité de l’entreprise, protéger sa réputation et éviter les pertes financières.

Les entreprises ont besoin d’une stratégie de cybersécurité solide, incluant la mise en place de protections technologiques appropriées mais surtout de tester votre résilience par des tests d’intrusion au minimum une fois tous les 2 ans.

Des méthodes d’infiltration de plus en plus diverses

La menace du phishing demeure prédominante, représentant 74% des cyberattaques en 2022, avec une légère hausse par rapport à l’année précédente (73% en 2021).

Cependant, d’autres tactiques se renforcent :

  • Le vol d’identifiants est une méthode en plein essor, passant de 39% à 44% en seulement un an. Cette méthode implique la réutilisation des noms d’utilisateur et des mots de passe des employés, souvent obtenus par phishing ou par d’autres méthodes d’ingénierie sociale.
  • Les attaques à travers les fournisseurs de services, ou MSSP, sont également en hausse significative, de 34% à 40%. Ce pourcentage démontre comment les cybercriminels cherchent à exploiter les chaînes d’approvisionnement numériques, de plus en plus complexes et interconnectées, pour atteindre leurs victimes.
  • Les serveurs non corrigés, comme les VPN ou les serveurs web, restent une cible constante, représentant 28% des attaques, chiffre stable depuis 2021.
  • Enfin, les attaques par force brute, par exemple via un serveur RDP, ont légèrement diminué, passant de 19% en 2021 à 17% en 2022. Malgré cette baisse, cette méthode reste une menace sérieuse, d’autant plus que les outils de force brute deviennent de plus en plus accessibles.
Graphique à barres horizontales comparant deux séries de pourcentages concernant les différents moyens de compromissions, illustrant une comparaison entre deux périodes 2021 et 2022. Les pourcentages varient entre 17% et 44%, avec chaque barre étiquetée avec un pourcentage spécifique. Les premières données correspondent au vol d'identifiants avec 39% en 2021 et 44% en 2022. Deuxième donnée concerne les tiers fournisseur avec 34% en 2021 et 40% en 2022. Troisième donnée : ce sont les serveurs non corrigés avec 28% pour 2021 et 2022. Et enfin la dernière donnée correspond aux attaques par force brute : 19% en 2021 contre 17% en 2022. Source : rapport Hiscox 2022 sur la gestion des cyber-risques

Face à cette diversité de tactiques, une approche multicouche de la cybersécurité est essentielle pour toute PME. Il ne suffit pas de se concentrer sur une seule méthode d’attaque. Il est nécessaire de déployer une variété de mesures défensives pour répondre à la multitude de menaces !

Infographie pour résumer

Infographie - Résumé des 7 statistiques cybersécurité pour le PME en France. - 45% des entreprises victimes de cyberattaques. - 74% des attaques attribuées au phishing - 2 entreprise sur 5 sont touchées par les ransomwares - 19% des intrusions font suite à un vol/fuite de données préalables - 15 300€ est le coût médian d'une cyberattaque - 330 000 attaque réussies contre des PME - le top des moyens de compromissions sont dans l'ordre décroissant le vol d'identifiants, les tiers fournisseur, les serveurs non corrigés et les attaques par force brute. L'infographie se termine par une question : "comment garantir la sécurité de son SI ?" La réponse : des audits réguliers, des tests d'intrusion, et de la formation.

Comment garantir la sécurité de votre système d’information en tant que PME ?

La recrudescence des cyberattaques, leur sophistication accrue et l’augmentation de leur coût font de la cybersécurité une priorité incontournable pour les PME. Les statistiques de 2022 sont sans équivoque : la menace est bien réelle et nous sommes tous concernés. Alors, que faire ?

Cartographier : Connaître son environnement

Comprendre votre environnement technologique est la première étape cruciale vers une meilleure sécurité de votre système d’information.

Vous devez savoir quels types de données votre entreprise manipule, où ces données sont stockées et qui y a accès. La cartographie des actifs de votre entreprise, y compris les données sensibles et le matériel informatique, vous aide à évaluer leur niveau de sensibilité et à mettre en place des mesures de protection appropriées.

Cette compréhension approfondie de votre environnement informatique est la base sur laquelle vous pouvez bâtir une stratégie de sécurité globale solide.

Audit : Évaluer la sécurité de votre système d’information

Une fois que vous avez une vue claire de votre environnement, l’étape suivante est de l’évaluer pour identifier les vulnérabilités potentielles.

Un audit de sécurité informatique est un processus systématique qui examine et teste votre système d’information pour découvrir les failles qui pourraient être exploitées par des attaquants.

L’audit peut déceler des problèmes tels que les configurations erronées, les logiciels obsolètes et les failles de sécurité dans les applications.

Les résultats de l’audit peuvent ensuite guider les efforts pour corriger les vulnérabilités et renforcer la sécurité.

Test d’intrusion : Tester votre résilience

Le test d’intrusion, ou “pentest”, est une étape supplémentaire pour vérifier la robustesse de vos défenses.

Un pentest simule une attaque sur votre système d’information dans le but d’identifier et d’exploiter les vulnérabilités. Il donne un aperçu réaliste de la manière dont un attaquant pourrait tenter d’infiltrer votre réseau et de ce qu’il pourrait accomplir une fois à l’intérieur.

Les résultats du pentest vous donnent une idée précise des faiblesses de votre système et vous aident à prendre des mesures pour les corriger.

Formation : Sensibiliser vos équipes

Vos collaborateurs sont votre première ligne de défense.

Malheureusement, ils peuvent aussi être le maillon faible si ils ne sont pas correctement formés pour reconnaître et gérer les menaces.

Une formation en cybersécurité peut aider vos employés à comprendre les risques, à reconnaître les signes d’une attaque possible et à savoir comment réagir.

Une équipe bien formée et consciente des enjeux de la cybersécurité peut être un atout majeur pour la protection de votre entreprise.

Anticipation : Prévoir un PRA/PCA

Un plan de reprise d’activité (PRA) ou un plan de continuité d’activité (PCA) est essentiel pour minimiser l’impact d’une cyberattaque et assurer la reprise rapide de vos activités.

Ces plans incluent des détails sur la façon de gérer la communication interne et externe, comment récupérer les données, comment gérer les conséquences financières, et bien plus encore.

L’objectif est de minimiser l’interruption de l’activité, de limiter les dommages et de reprendre les opérations aussi rapidement que possible. Avoir un PRA ou un PCA en place avant une attaque vous donne un avantage considérable : vous savez quoi faire lorsque la crise éclate.

Pour conclure

En somme, la menace des cyberattaques est une réalité à laquelle toutes les PME doivent faire face. Ne laissez pas votre entreprise être prise au dépourvu.

Prenez les devants en comprenant votre environnement, en évaluant votre sécurité, en testant vos défenses, en formant votre personnel et en planifiant votre réponse !

Adoptez une approche proactive de la cybersécurité en mettant en place ces cinq mesures de prévention.

Pour aller plus loin,

Faites un diagnostic personnalisé
« Scan de vulnérabilité : indispensable dans une stratégie de sécurité globale
Les grands types de tests d’intrusion »