Près de quatre entreprises belges sur dix ont été hackées l’année dernière. Les sociétés estiment leurs pertes financières à plus de 5 millions EUR par incident… C’est ce qui ressort de la première European Cyber Risk Survey de Marsh, l’un des principaux acteurs mondiaux dans le domaine du courtage en assurances et en gestion de risques.
Presque la moitié (47%) des entreprises belges interrogées considère les cyber-risques comme une menace du Top 10. La moyenne européenne est de 28%. Chez nos voisins hollandais et français, ils sont 20% à placer les cyber-risques dans le Top 10 des menaces, 32% en Allemagne et 29% au Royaume-Uni.
Seulement 15% des répondants belges admettent avoir une connaissance limitée, ou nulle des cyber-risques. C’est la moitié de la moyenne européenne (30%). 66% affirment avoir une connaissance de base dans ce domaine. Les institutions financières constituent une exception. Mais seules 50% d’entre elles comprennent exactement de quoi il s’agit.
«En ce qui concerne la conscientisation autour de cette problématique, les sociétés belges sont clairement en avance par rapport à leurs homologues européens, commente Véronique Franken, Practice Leader, Financial & Professional Risks pour la Belgique et le Luxembourg chez Marsh. Si nous nous penchons sur la façon dont elles traitent les cyber-risques, il y a encore une large marge de progression. Ainsi, pas moins de 71% des entreprises belges interrogées considèrent que les cyber-risques relèvent exclusivement de la reponsabilité de l’IT. La moyenne européene est, à ce niveau, plus basse, avec 65%. Cela illustre simplement que trop de sociétés pensent qu’elles sont protégées contre le hacking tant qu’elles disposent de la bonne technologie en interne. Rien n’est moins vrai. Personne n’est ‘safe’ à 100%. Encore plus frappant: seulement 6% des entreprises y impliquent le management. Alors que ce sujet devrait pourtant figurer tout en haut de l’agenda ‘risques’ des équipes dirigeantes.»
Une réglementation… en devenir !
Il est encore plus frappant de constater que 76% des sociétés interrogées en Belgique n’ont jamais eu à soumettre une norme de qualité en matière de cyber-sécurité (contre 67% en Europe). La raison ? La réglementation européenne à ce niveau est encore en plein développement. Aucune norme internationale de qualité n’est actuellement en vigueur. D’un autre côté, 43% des répondants belges indiquent évaluer leurs fournisseurs. C’est bien plus que la moyenne européene de 23%. Ce pourcentage varie selon le secteur d’activité et atteint 33% pour le secteur des soins de santé, et 13% pour l’industrie.
Sans surprise, les institutions financières, qui sont une cible privilégiée pour les hackers, se démarquent : pas moins de 80% d’entre elles ont déjà identifié des menaces cybernétiques dans leur société. «Le secteur du commerce de détail est également performant en la matière, explique Anne-Sophie Coppens, Senior Client Advisor, Financial & Professional Risks pour la Belgique et le Luxembourg chez Marsh, mais d’autres secteurs sont à la traîne. Dans le secteur des soins de santé, 67% des entreprises en Belgique n’ont pas encore identifié les menaces cybernétiques les plus importantes. Un constat préoccupant étant donné la nature sensible des données et informations dans ce secteur.»
Menace n° 1
En Europe, le Top 3 des menaces les plus importantes comprend les menaces internes (par ex. son propre personnel) (29 %), les erreurs opérationnelles (y compris la perte d’appareils mobiles) (28%) et les hacktivistes (23%). Pour les sociétés belges également, les menaces internes constituent le plus gros risque (29%), suivi par le crime organisé (23%) et les hacktivistes (23%). Le Top 5 est complété par les erreurs opérationnelles (20%) et le terrorisme, ou les attaques par d’autres états (6%).
En Belgique, tant les institutions financières que le secteur retail considèrent le crime organisé comme la menace n°1. Les entreprises actives dans la communication, les médias et les technologies voient plutôt les interruptions d’activité comme le scénario le plus probable. Le secteur financier craint par ailleurs la fraude. L’industrie pharmaceutique se fait le plus de souci quant à la perte de la propriété intellectuelle.