Consternant, mais est-ce vraiment une surprise? Selon l’enquête menée par les architectes en assurances ADD et la revue spécialisée CFO Magazine, 7 entreprises belges sur 10 ne sont pas préparées à faire face à une cyber-attaque. Et à peine 11% des entreprises interrogées indiquent avoir analysé en détail l’ensemble des coûts que pourrait engendrer une éventuelle cyber-attaque.
Élément positif toutefois: le nombre d’entreprises belges ayant souscrit une assurance spécifique visant à se prémunir des frais liés à la perte de données et de chiffre d’affaires à la suite d’une cyber-attaque a doublé en un an, passant ainsi de 5% en 2013 à 13% en 2014. 90% des entreprises n’ont aucune idée des coûts que peut engendrer une cyber-attaque.
L’un des éléments frappants qui ressort de l’enquête d’ADD et de CFO Magazine est que seul un CFO sur dix a une vision claire de l’impact financier éventuel d’une cyber-attaque sur son entreprise. Parmi les répondants, 74% indiquent ne pas avoir analysé les conséquences financières et 16% d’entre eux n’ont pas la moindre idée des mesures prises par l’entreprise en matière de cybercriminalité.
Sarah Heuninck de CFO Magazine plaide en faveur d’une attention accrue à l’égard de la cybercriminalité en 2015: «Cette enquête indique clairement que la cybercriminalité devra faire partie des priorités du CFO belge au cours des années à venir. La gestion des risques globale de l’entreprise incombe souvent -implicitement ou non- au CFO.»
Cette enquête montre également une évolution positive en ce qui concerne la cybercriminalité. Le nombre d’entreprises belges ayant souscrit une assurance contre la cybercriminalité a doublé en l’espace d’un an. Aujourd’hui, 13% d’entre elles déclarent avoir souscrit une assurance visant à se prémunir des frais liés à la perte de données et de chiffre d’affaires à la suite d’une cyberattaque. En 2013, seuls 5% des CFO affirmaient avoir souscrit une telle assurance.
Paul Marck, Directeur technique chez ADD, nuance toutefois cette évolution positive: «En pratique, nous constatons que les entreprises partent trop rapidement du principe qu’elles sont assurées contre la cybercriminalité. Les assurances classiques n’offrent aucune protection ou, tout au plus, une protection fragmentaire… Les coûts liés à la détection et à la résolution de problèmes de sécurité ou à la communication de crise après une violation du système sont rarement couverts. Si l’on prend également en compte les conséquences en matière de responsabilité et de perte de chiffre d’affaires, il est clair que seule une police spécialisée en matière de cybercriminalité offre une protection suffisante. Il ne s’agit plus d’un produit de luxe!»