Les entreprises françaises ont conscience du risque de cyberattaque mais elles ne se protègent pas assez. C'est le résultat d'une étude menée par l'Ifop pour la société de conseil en cybersécurité F-Secure*, et qu'Europe 1 révèle en exclusivité. Concrètement, neuf entreprises sur dix estiment qu’il est essentiel de se prémunir contre les attaques informatiques. Sauf qu'il y a un décalage, notamment chez les TPE-PME, entre la réflexion et le passage à l'acte : une entreprise sur deux ne sécurise pas ses postes de travail et une sur trois n’utilise même pas d’antivirus.
L'antivirus seul ne suffit plus
Cette insuffisance résulte d'abord d'un choix financier. Selon cette étude, pour 60% des PME, le budget pour la protection de leur système informatique ne doit pas dépasser 1.000 euros par an. "Avec cette somme, on est capable de protéger une petite infrastructure, une TPE de moins de dix salariés. Un antivirus c'est environ 50 euros par an et un pare-feu pour une petite entreprise c'est 300 euros par an. Si on ajoute les interventions du prestataire de service informatiques, on arrive à 1.000 euros", détaille Guillaume Gamelin, vice-président de F-Secure France.
Problème : c'est une somme insuffisante pour des PME de 20 ou 50 salariés. Or, "plus l'entreprise est grosse et plus elle est numérisée, plus elle est concernée par les cyberattaques", rappelle Guillaume Gamelin. Et les temps ont changé. "Hier, il suffisait d'un logiciel antivirus qu'on activait sur demande. Aujourd'hui, avec la complexité des nouvelles attaques, ce n'est plus suffisant. Il faut investir dans des ressources humaines pour vérifier et entretenir les systèmes informatiques au quotidien", souligne ce spécialiste de la cybersécurité.
Une prise de conscience pendant la crise du Covid
L'étude menée pour F-Secure met en évidence un décalage entre la perception, par les entreprises, des risques liés aux cyberattaques et les actions menées pour s'en protéger. "On observe une prise de conscience liée à la cybersécurité, grâce ou à cause de l'actualité et de la médiatisation des attaques visant des hôpitaux et des mairies", assure Guillaume Gamelin. "Il y a eu une bascule lors de la crise du Covid-19. Les patrons sont aujourd'hui mieux informés des risques. L'inquiétude est partagée autant par les PME que par les grands groupes. Tout le monde réalise qu'une attaque informatique peut avoir des effets très concrets et très néfastes."
Malgré l'inquiétude, deux tiers des dirigeants interrogés estiment que leurs salariés sont suffisamment protégés. Ce qui, au vu des montants investis, est loin d'être toujours le cas. "Il y a parfois un décalage entre le sentiment de sécurité des entreprises et leur niveau réel de protection, qu'il soit géré en interne ou par un prestataire de services", prévient le vice-président de F-Secure France. D'autant que le risque augmente. "Il y a une professionnalisation des hackers qui sont aujourd'hui regroupés comme des organisations criminelles."
Des efforts à faire pour éduquer les salariés
Pour Guillaume Gamelin, il faut donc aller au delà des considérations financières et de la seule problématique de l'équipement informatique. "L'autre volet de la lutte contre les cyberattaques, peut-être le plus important, c'est l'information et la formation des salariés", insiste-t-il. Le maillon faible de la cybersécurité, c'est d'abord l'humain devant son ordinateur qui ouvre un mail frauduleux, qui clique sur un lien piraté ou qui connaît tout simplement mal les gestes de base. "C'est essentiel d'éduquer les salariés pour qu'ils utilisent des mots de passe forts et qu'ils les changent régulièrement", insiste Guillaume Gamelin.
Cela paraît peu, mais ces fondamentaux peuvent sauver les données d'une entreprise. "Huit cyberattaques sur dix passent par une faille de sécurité connue mais pas corrigée par le biais d'une mise à jour. C'est essentiel de mettre à jour son ordinateur à chaque fois qu'une nouvelle version de l'antivirus est disponible", rappelle le vice-président de F-Secure France. Il voit malgré tout un motif d'espoir depuis quelques mois : "avec la vague d'attaques du Covid, on observe que les entreprises investissent de plus en plus dans la formation de leurs salariés".
*Étude quantitative réalisée en ligne auprès d’un échantillon national représentatif de 500 "professionnels" âgés de 18 ans et plus, entre le 31 mars et le 2 avril 2021. 75% des entreprises interrogées ont moins de 10 salariés.