Sur l’évaluation générale du risque qui pèse sur leur entreprise, les Français sont mitigés. Presque la moitié (42 %) estiment que leur entreprise ne court pas de danger particulier (contre 48 % dans le monde). Toutefois, lorsqu’on leur soumet une liste de menaces potentielles, la quasi-totalité y perçoit une réelle menace. De plus, 28 % des responsables et spécialistes IT français estiment que la survie de leur entreprise sur les 12 prochains mois est en jeu. Sur ce point, la moyenne internationale est plus modérée (15 % seulement) et les Américains sont plus optimistes (9 %).

A l’international, les professionnels de l’IT s’inquiètent avant tout de la sécurité des données (46 %), puis de l’instabilité économique (38 %), et enfin des technologies émergentes telles que l’IA (36%). Les menaces traditionnelles telles que l’avance technologique des concurrents (34 %) et la pénurie de talents (32 %) arrivent ensuite. L’instabilité géopolitique et les questions de réglementation et de conformité n’inquiètent que 27 % et 25 % des interrogés. Par ailleurs, 87 % d’entre eux admettent subir actuellement les conséquences découlant de certains de ces risques – notamment en matière de sécurité des données (45 %) et de pénurie de talents (38 %).

En France, le classement diffère légèrement : les risques liés aux données restent en tête (confirmés par 43 % des répondants), mais sont suivis par la pénurie de talent (41 %), l’instabilité économique (35 %), les situations de crise générales ou scandales que peuvent vivre l’entreprise (34 %) et les technologies émergentes – telles que l’IA (32 %). Quant à l’instabilité géopolitique (26%) et l’affaiblissement des mesures de protection sur le long terme (25 %), ils semblent moins soucier les professionnels sur l’Hexagone.

Jean-Pierre Boushira, VP Southern EMEA, Benelux and Nordics chez Veritas Technologies, commente : « La proportion très élevée de professionnels IT français qui mettent en doute la survie de leur entreprise dans les 12 prochains mois traduit une prise de conscience. La cybersécurité est un défi permanent et le maintien d’une posture robuste face aux menaces extérieures exige un travail et une vigilance quotidiens. Sans aucun ajustement, les choses peuvent largement se dégrader en un an, au point de remettre en question la pérennité de l’entreprise. »

De fait, au cours des deux dernières années, 66 % des entreprises françaises auraient subi au moins une attaque par ransomware réussie, et les spécialistes IT reconnaissent encore aujourd’hui qu’elles ont un impact considérable et des conséquences désastreuses. Presque une entreprise française sur deux (40 %) aurait publiquement signalé ce type d’attaque. Bien souvent, ces intrusions sont le fruit de lacunes en matière de conformité ; lacunes qui coûtent par ailleurs très cher aux entreprises. D’après les répondants français, les entreprises auraient réglé en moyenne l’an dernier 81 718€ d’amende pour cause de gestion et protection des données non-conformes. Ces montants explosent dans le reste du monde avec des amendes équivalent en moyenne à 316 295€.

Être ou ne pas être exposé ? Telle est la question

Outre les différents défis qu’ils rencontrent au quotidien, les professionnels IT ont également été interrogés sur la qualité et l’efficacité des bonnes pratiques mises en place au sein de leur structure. En faisant une analyse sectorielle sur l’ensemble des pays concernés par l’étude, le secteur public arrive en tête des secteurs les plus exposés. Et pour cause, 48 % des professionnels IT de ce secteur pensent évoluer dans un environnement risqué. De même, plus de la moitié (52 %) de ceux qui travaillent dans le secteur de l’énergie, du pétrole, et du gaz, se considèrent comme étant sujet aux risques. Enfin, la France se situe en 2ème place du palmarès des pays les plus exposés aux risques malgré les mesures mises en place.

Secteurs les plus exposés (moyenne, tous pays confondus) Pays/régions les plus exposés
1 Secteur Public 1 Royaume-Uni
2 Energie, pétrole/gaz et leurs infrastructures 2 France
3 Média, loisir et divertissement 3 Chine
4 BTP et immobilier 4 Singapore
5 Industrie manufacturière et de production 5 Japon
6 IT, technologie et télécom 6 États-Unis
7 Service aux entreprises et aux professionnels 7 Australie
8 Finance 8 Pays scandinaves
9 Santé 9 DACH (Allemagne, Autriche, Suisse)
10 Pharmaceutique 10 Inde

Une cyberdéfense insuffisante ?

En France, les entreprises qui cherchent à réduire les risques liés à la sécurité des données, ont souvent augmenté leur budget dédié à la data protection (+32 % au cours des 12 derniers mois). Malgré ces actions, elles restent à la recherche d’experts pour renforcer leurs équipes IT et explorent d’autres moyens pour renforcer leur résilience. Si l’IA et les technologies émergentes sont considérées comme une menace pour certaines entreprises, 68 % des spécialistes IT en France envisagent l’IA et le Machine Learning comme des outils leur permettant d’améliorer leur sécurité.

L’utilisation des moyens technologiques tels que l’IA pour créer des attaques de ransomware plus sophistiquées et plus convaincantes pour cibler les entreprises suscite la méfiance chez certains professionnels. De plus, l’IA semble crainte par les entreprises qui n’ont pas les garde-fous nécessaires pour encadrer l’utilisation de l’IA générative par les salariés, notamment lorsqu’il s’agit d’appliquer les règles relatives à la confidentialité des données. D’un autre côté, grâce à ses capacités de détection des activités malveillantes et d’automatisation de réponse aux attaques, cette technologie serait également considérée comme l’une des meilleures solutions pour aider les entreprises à lutter contre les pirates informatiques.

Concernant les moyens mis en place pour récupérer les données en cas d’attaque, la France reste la plus prévoyante. Contrairement aux 62 % des répondants internationaux qui admettent avoir un plan (même partiel) de récupération de données, 87 % des professionnels IT français indiquent en avoir mis un en place.

Jean-Pierre Boushira poursuit : « Les professionnels IT français se démarquent à l’international : ils ont une bonne perception des risques, sont conscients de leurs points faibles, et agissent pour renforcer leur stratégie de sécurité malgré le manque de ressources. Ils savent qu’aucune entreprise n’est à l’abri des cyberattaques et qu’elles peuvent être particulièrement destructrices. Alors, si le risque zéro n’existe pas, il est nécessaire de préparer un plan de récupération des données et de renforcer sa cyber-résilience, de la périphérie jusqu’au cœur de l’entreprise, en passant par le cloud. L’IA fera définitivement partie du paysage du data management et de la gestion des risques au cours des prochaines années. L’enjeu est maintenant de savoir qui des entreprises ou des hackers en feront le meilleur usage ».