Cyber-attaques : les conseils d'administration perçoivent les risques, mais la préparation aux crises est insuffisante

La menace des cyber-attaques ne cesse de croître. Les grandes entreprises sont particulièrement touchées : 45% des entreprises de plus de 250 collaborateurs ont déjà été victimes de cyberattaques.Chaque utilisateur a été victime d'une cyber-attaque au moins une fois. C'est ce que révèle le dernier rapport swissVR Monitor.

Contrairement aux grandes entreprises, les PME semblent nettement moins touchées : Seules 18 % des entreprises de moins de 50 employés font état d'une attaque grave, comme le précise le communiqué de presse. Le lien entre la taille de l'entreprise et la fréquence des attaques est évident : les grandes entreprises sont plus exposées au niveau mondial et offrent une plus grande surface d'attaque aux cybercriminels. Une autre explication de la prétendue moindre implication des petites entreprises serait l'absence partielle de rapports sur de tels incidents au conseil d'administration.

L'interruption de l'exploitation est la conséquence la plus fréquente

Les cyber-attaques ont souvent de graves conséquences sur les activités opérationnelles. La conséquence de loin la plus fréquente est, selon le Société d'audit et de conseil Deloitte Suisse une interruption de l'activité. C'est le cas pour 42 % des entreprises touchées par une cyberattaque. (voir graphique 1). Les processus opérationnels des entreprises du secteur des technologies de l'information et de la communication seraient particulièrement menacés. Dans ce secteur, 69 % des entreprises concernées verraient leur activité interrompue.

Les fuites de données et les dysfonctionnements de produits ou de services seraient également des conséquences fréquentes. Certaines cyberattaques auraient même des conséquences en dehors de l'entreprise elle-même : Ainsi, 11 % des personnes interrogées déplorent des attaques consécutives contre des clients. Bien que la perte d'actifs soit rare, les conséquences financières ne doivent pas être sous-estimées. Outre les pertes de chiffre d'affaires dues aux interruptions d'activité, les coûts consécutifs risquent d'être élevés, par exemple pour la restauration des données.

La résilience gagne fortement en importance

Les conséquences à grande échelle le démontreraient clairement : Selon lui, chaque PME doit se préoccuper des cyber-risques. "Ce thème fait aujourd'hui partie intégrante d'une bonne gouvernance d'entreprise. Il est réjouissant de constater que de nombreuses entreprises en ont déjà pris conscience. Mais il y a encore du potentiel. Notre enquête montre que la cyber-résilience gagne fortement en importance, tous secteurs confondus. Cela doit également se refléter dans la gestion des risques et le processus stratégique de chaque entreprise", explique Mirjam Durrer, chargée de cours à la Haute école de Lucerne à l'Institut für Finanzdienstleistungen Zug IFZ. Selon elle, 95 pour cent des membres de conseil d'administration interrogés estiment que l'importance de la cyber-résilience pour leur entreprise a augmenté au cours des trois dernières années. La majorité d'entre eux observe même une forte augmentation, l'évaluation dépendant essentiellement de la taille de l'entreprise. La corrélation entre la taille et le niveau de menace se reflète ici aussi.

Pas encore partout une affaire de chef

Selon les cabinets d'audit et de conseil, le point positif est que les conseils d'administration déclarent assumer la plupart de leurs responsabilités en matière de cyber-résilience. 85 % des personnes interrogées affirment que leur conseil d'administration suit les tendances et les évolutions actuelles dans le domaine de la cyber-résilience. (voir graphique 2). De même, huit comités sur dix disposent d'une politique de risque qui aborde les cyberdangers. Malgré tout, il est nécessaire d'agir, souligne Klaus Julisch, responsable Risk Advisory chez Deloitte Suisse : "La prise de conscience des risques augmente, ce qui est positif. Cela dit, le sujet n'a pas encore été abordé partout dans les conseils d'administration. De même, près de la moitié des entreprises n'ont pas de cyberstratégie claire. Les entreprises suisses et leurs conseils d'administration doivent donc prendre encore plus de responsabilités dans l'optique de la cyber-résilience".

Seul un tiers des jeunes s'entraîne

Selon Deloitte Suisse, il y a également des progrès à faire en matière de préparation aux situations d'urgence. Seul un membre de conseil d'administration sur trois confirme que l'organe du conseil d'administration promeut au moins partiellement la gestion de crise. La situation est un peu meilleure dans l'industrie financière : environ une entreprise sur deux de ce secteur organise régulièrement des formations de crise. En outre, l'industrie financière enregistre la part la plus élevée de cyber-assurances conclues, avec 58 %.

Il existe également un potentiel d'amélioration en ce qui concerne les rapports au conseil d'administration : seul un tiers environ des personnes interrogées sont régulièrement informées par la direction sur les principaux risques cyber ou sur leur propre cyberstratégie. Une bonne moitié des membres du conseil d'administration reçoivent tout de même un rapport sur l'état général des menaces, sur les cyberattaques actuelles dans l'entreprise ou sur les mesures à prendre et les investissements nécessaires pour renforcer la cyber-résilience.

Moniteur swissVR

Le swissVR Monitor est une enquête menée par l'association des conseils d'administration swissVR en coopération avec la société d'audit et de conseil Deloitte Suisse et la Haute école de Lucerne.

L'enquête semestrielle swissVR Monitor vise à recueillir les appréciations des membres de conseils d'administration sur les perspectives commerciales, les stratégies et les thèmes structurels - ainsi que, dans cette édition, sur le thème central de la "cyber-résilience". La 14e enquête a été réalisée par swissVR en collaboration avec Deloitte et la Haute école de Lucerne entre le 22 mai et le 8 juillet 2023. Les 400 participants représentent des conseils d'administration d'entreprises cotées en bourse ainsi que de PME et proviennent de toutes les branches pertinentes.