Marylise Jacottin, General Manager NTT Com Security France, revient sur les résultats obtenus dans l’Hexagone : « La France a encore du chemin à parcourir pour sensibiliser les individus à la cybersécurité et à l’impact d’une attaque. Alors que plus de la moitié des personnes interrogées considèrent que la sécurité des données est vitale pour l’organisation en Angleterre, en Allemagne et en Australie, ils ne sont que 38% en France… »

Ce retard s’illustre de plusieurs façons :
_ ? En France, seuls 32% des personnes interrogées déclarent que leur entreprise à un plan de réponse à incident en cas de faille. Les Anglais, Allemands et Australiens sont meilleurs élèves avec respectivement 67%, 55% et 56% des répondants.
_ ? Par ailleurs, la France est l’un des deux seuls pays dans lesquels la majorité des senior executives considèrent qu’une faille de sécurité n’aurait aucun impact sur le chiffre d’affaires (24%). Et ils vont même encore plus loin : ils sont les plus nombreux à considérer qu’une faille de sécurité n’aura aucun impact d’aucune sorte sur l’activité de leur entreprise (12%) ! ? Enfin, alors qu’une majorité des répondants anglais, allemands et australiens s’en remet à l’équipe IT de son entreprise pour accéder de façon sécurisée aux données de la compagnie quelque soit le terminal utilisé … ils sont une majorité de Français (45% des répondants de l’Hexagone) à ne faire confiance qu’à eux-mêmes pour consulter et exploiter les données d’entreprise de façon sécurisée.

A l’échelle internationale, il en ressort que près des deux tiers (63 %) des personnes interrogées s’attendent à subir une violation de sécurité à plus ou moins brève échéance, mais que moins d’un sondé sur dix (9 %) considère « une mauvaise sécurité des données » comme le plus grand risque pour leur entreprise. Pour la majorité des participants à l’enquête, le véritable risque se trouve dans la perte de parts de marché, la pénurie de compétences ou la baisse des bénéfices.

Ces grands décideurs ne perçoivent pas non plus les conséquences durables –en termes de coûts et
de temps – d’une faille de sécurité dans leur entreprise. Si plus de la moitié (59 %) affirment que le
préjudice serait minime sur le long terme, une bonne partie s’accorde à dire qu’un vol de données
nuirait à leur réputation (60 %) et à la confiance que leur accordent leurs clients (56 %). Quant à
l’impact financier d’un tel incident, il s’établirait en moyenne autour de 8 % de perte de chiffre
d’affaires selon les personnes interrogées. Toutefois, 17 % n’y voient aucune menace sur leurs
recettes, tandis qu’un quart (25%) admettent n’avoir aucune idée des conséquences financières
d’une cyberattaque.

« La question est de savoir si les cadres dirigeants perçoivent les risques réels pour leur organisation
aussi bien qu’ils comprennent la valeur d’une sécurité des données performante. Il semble que l’on
atteint un niveau d’indifférence inquiétant », estime Garry Sidaway, Vice Président Senior de la
stratégie sécurité & alliances chez NTT Com Security. « Lorsque nous leur avons demandé ce
qu’évoquait pour eux la notion de « sécurité des données », seule la moitié d’entre eux l’ont jugée

« vitale » pour l’entreprise, tandis que moins de 50 % y voyaient une « bonne pratique » et moins
d’un quart un « levier pour l’activité ». Malheureusement, la majorité associe encore la sécurité à la
protection des données ou de la vie privée. »

« Le rapport révèle aussi qu’il existe une réelle différence entre le coût d’une faille de sécurité et
l’importance que les organisations accordent à la sécurité informatique pour limiter ces coûts. À une
époque où les incidents de sécurité font chaque jour les gros titres et où les violations de données
entraînent des pertes de plus en plus colossales – 1,4 million d’euros en moyenne dans les grandes
entreprises1 – un incident de sécurité majeur pourrait avoir de vastes répercussions allant de
l’altération de la réputation à l’impact sur, le cours de l’action et la capacité d’une entreprise à attirer
les meilleurs talents. »

Le rapport « Cybersécurité : Risque & Valeur » se penche sur quatre grands thèmes : la politique en
matière de données, la sécurité de ces données, l’impact d’une violation de sécurité et les
connaissances/comportements individuels.

Politique de l’entreprise en matière de données
_ ? En moyenne, 10 % du budget informatique d’une entreprise est consacré à la sécurité des
données/de l’information, même si 16 % des personnes interrogées ignorent tout des montants
alloués.
_ ? Environ la moitié (49 %) qualifie la sécurité des données de « coûteuse », tandis que 18 % la
considèrent comme « perturbatrice ».
_ ? Plus de la moitié (57 %) des personnes interrogées ont mis en place une politique formelle de
sécurité des données, mais seules 47 % disposent d’un plan de reprise d’activité (PRA) en cas
de violation.

Sécurité des données
_ ? Moins de la moitié des personnes interrogées (44 %) affirment que toutes leurs données
critiques sont « totalement sûres ».
_ ? 55 % des sondés reconnaissent l’importance capitale des données clients (consommateurs) pour
la croissance de leur entreprise, mais seuls 38 % affirment que toutes leurs données clients sont
« totalement sûres ».
_ ? 45 % reconnaissent l’importance capitale des données de performances métiers pour leur
entreprise, mais seuls 31 % affirment que toutes ces données sont « totalement sûres ».

Impact d’une violation de sécurité des données
_ ? Environ trois quarts (72 %) des personnes interrogées déclarent qu’il est crucial pour leur entreprise d’être assurée contre les violations de sécurité.
_ ? Moins de la moitié (48 %) déclarent que leur assurance couvre la perte de données et la violation de sécurité.
_ ? Un quart ignore l’étendue de leur couverture en cas de violation de sécurité des données.

Connaissances et comportements individuels
_ ? Moins de la moitié (41 %) ne reçoivent aucune information régulière de leur équipe de sécurité informatique quant à d’éventuelles attaques ou menaces potentielles.
_ ? 28 % se basent sur leur propre jugement pour décider des « comportements sûrs » à adopter pour l’utilisation/l’accès à leurs données professionnelles, mais un cinquième seulement (21 %) affirment que la sécurité des données relève de la responsabilité conjointe de l’équipe IT et de la leur.
Simon Church, PDG de NTT Com Security, ajoute : « La plupart des cadres dirigeants d’entreprise ne se sentent pas directement concernés par les problématiques et les risques que les technologies font courir à leur entreprise.
En tant qu’industrie, nous devons être plus intelligents en sensibilisant les entreprises à l’impact d’une faille de sécurité et trouver les ressorts pour élever la sécurité de l’information du rang de « question importante » à celui d’« élément vital ». Nous devons insister sur le fait qu’elle devient une partie intégrante de l’exposition globale au risque d’une entreprise, et mérite la même considération que les bénéfices et la réputation. »

1 Source : 2014 Information Security Breaches Survey, PricewaterhouseCoopers (PwC), en association avec le
Department for Business, Innovation and Skills au Royaume-Uni.

Méthodologie

En septembre 2014, le cabinet d’études de marché Vanson Bourne a mené pour NTT Com Security une enquête auprès de 800 cadres dirigeants (hors fonction IT) en France, en Australie, en Allemagne, à Hong Kong, en Norvège, en Suède, au Royaume-Uni et aux États-Unis (100 personnes interrogées dans chaque pays). Parmi les entreprises représentées, 45 % employaient entre 1 001 et 5 000 salariés et 28 % comptaient plus de 5 000 collaborateurs. La majorité (67 %) affichait un chiffre d’affaires mondial compris entre 100 millions et 10 milliards de dollars, tandis que le CA annuel de 18 % d’entre elles dépassait les 10 milliards de dollars. Les secteurs d’activité représentés : industrie, grande distribution, banques/services financiers, transports, santé, services d’utilité publique, télécoms, pétrole et gaz, administrations et collectivités.