Cyberattaques: les conseils d’administration doivent améliorer la prévention

Communiqué, swissVR & Deloitte Suisse & Haute Ecole de Lucerne

3 minutes de lecture

La 14e édition du swissVR Monitor révèle que, malgré la prise de conscience accrue des risques par les entreprises, nombreuses sont celles qui ne disposent pas d’une cyberstratégie aux contours clairs.

L’économie suisse est plus que jamais aux prises avec la problématique des cyberattaques. Une grande entreprise sur deux a déjà été victime d’une cyberattaque. Dans de nombreux cas, ces incidents se soldent par une interruption d’exploitation. La 14e édition du swissVR Monitor révèle que, malgré la prise de conscience accrue des risques par les entreprises, nombreuses sont celles qui ne disposent pas d’une cyberstratégie aux contours clairs. Les cas d’incident majeur ne font que rarement l’objet d’exercices de simulation, et le reporting de la direction au conseil d’administration doit vraiment être améliorée.  

La menace des cyberattaques grandit. A cet égard, les grandes entreprises sont particulièrement visées: 45% des entreprises de plus de 250 employés ont déjà été au moins une fois victimes d’une cyberattaque. C’est ce que révèle le dernier swissVR Monitor, une enquête semestrielle réalisée par l’Association des conseils d’administration swissVR en coopération avec le cabinet d’audit et de conseil Deloitte Suisse et la Haute École de Lucerne. Dans le cadre de cette étude, pas moins de 400 membres de conseils d’administration ont été interrogés sur le thème clé de la «cyber-résilience».

Contrairement aux grandes entreprises, les PME semblent nettement moins touchées : en effet, seulement 18% des entreprises de moins de 50 employés déclarent avoir été victimes d’une attaque grave. Le lien entre la taille de l’entreprise et la fréquence des attaques est manifeste: les grandes entreprises sont globalement plus exposées et offrent aux cybercriminels des terrains d’attaque plus vastes. Une autre raison invoquée pour expliquer pourquoi les petites entreprises seraient apparemment moins touchées réside dans le fait que les incidents de cette nature ne font pas toujours l’objet d’un reporting auprès du conseil d’administration.  

La conséquence la plus fréquente est une interruption d’exploitation

Les cyberattaques ont souvent de graves répercussions sur l’activité opérationnelle. La conséquence de loin la plus fréquente est l’interruption d’exploitation. C’est le cas pour 42% des entreprises victimes d’une cyberattaque (voir graphique 1). Sont particulièrement menacés les processus opérationnels des entreprises du secteur des technologies de l’information et de la communication. Dans cette branche, 69% des entreprises visées par une cyberattaque ont subi une interruption d’exploitation.

Incident et conséquences d’une cyberattaque sur l’entreprise

 

Parmi d’autres conséquences fréquentes, on peut citer les fuites de données ainsi que les dysfonctionnements de produits ou de services. Les cyberattaques ont même parfois un impact qui va au-delà de l’entreprise directement touchée: ainsi, 11% des personnes interrogées déplorent des attaques «par ricochet» sur leurs propres clients. Bien que les cas de fuite d’actifs restent rares, les conséquences financières ne doivent pas être sous-estimées pour autant. Outre les baisses de chiffre d’affaires dues aux interruptions d’exploitation, ces incidents engendrent également des coûts substantiels, par exemple pour la restauration des données.

La cyber-résilience est un facteur qui compte de plus en plus

L’ampleur des conséquences illustre l’urgence pour les PME de faire face aux cyber-risques. «Cette problématique fait désormais partie intégrante de toute bonne gouvernance d’entreprise. Heureusement, de nombreuses entreprises l’ont déjà bien compris. Mais il reste encore beaucoup à faire. Notre enquête montre que la cyber-résilience devient un enjeu majeur pour toutes les branches. Il appartient à chaque entreprise d’intégrer cet enjeu dans la gestion des risques et le processus stratégique de chaque entreprise», explique Mirjam Durrer, chargée de cours à l’Institut für Finanzdienstleistungen Zug (IFZ) de la Haute Ecole de Lucerne. 95% des membres de conseils d’administration sondés estiment que la cyber-résilience a gagné en importance pour leur entreprise au cours des trois dernières années. La majorité d’entre eux observent même une forte augmentation des enjeux liés à la cyber-résilience, qu’ils jugent dans une large mesure proportionnels à la taille de l’entreprise. On retrouve donc, là encore, une corrélation entre la taille de l’entreprise et le niveau de la menace.

La cybersécurité n’est pas encore traitée comme un enjeu crucial par tous les acteurs

Point positif: les conseils d’administration indiquent qu’ils assument la plupart de leurs responsabilités en matière de cyber-résilience. 85% des personnes interrogées confirment en effet que leur conseil d’administration suit de près les tendances et les évolutions actuelles dans le domaine de la cyber-résilience (voir graphique 2). De même, huit conseils d’administration sur dix disposent d’une politique de gestion des risques qui prend à bras-le-corps la problématique des cybermenaces. Il y a pourtant urgence à agir, rappelle avec insistance Cédric Nabe, associé Risk Advisory chez Deloitte Suisse. «La prise de conscience des risques augmente, ce qui est un signe positif. Néanmoins, tous les conseils d’administration n’ont pas encore intégré cette problématique. Par ailleurs, près de la moitié des entreprises ne disposent pas d’une cyberstratégie claire. Les entreprises suisses et leurs conseils d’administration doivent donc aller plus loin dans la prise de responsabilités dans le domaine de la cyber-résilience.»

Tâches du conseil d’administration en matière de cyber-résilience

 

Les conseils d’administration voient les perspectives économiques d’un œil (plus) positif  

Outre l’enquête sur cette problématique clé actuelle qu’est la cyber-résilience, le swissVR Monitor recueille deux fois par an les estimations des membres de conseils d’administration sur les perspectives économiques et commerciales. Après des attentes revues à la baisse à la suite de l’éclatement de la guerre en Ukraine en 2022, les membres de conseils d’administration sondés voient aujourd’hui les perspectives économiques pour les 12 prochains mois d’un œil légèrement plus optimiste. Lors de l’enquête, près d’un quart de l’ensemble des administratrices et administrateurs (24%) ont déclaré tabler sur une évolution positive de la conjoncture. Ils sont 10% en revanche à tabler sur une trajectoire négative. Une large majorité (66%) des personnes interrogées a émis un avis «neutre» par rapport aux prévisions conjoncturelles.

Comparativement, les avis concernant les perspectives sectorielles (45%) et les perspectives commerciales (57%) sont beaucoup plus positifs que les jugements portés sur la situation conjoncturelle globale. Cornelia Ritz Bossicard, présidente de swissVR, partage néanmoins le constat suivant: «Un grand nombre de facteurs continuent de peser sur l’économie suisse, parmi lesquels on peut citer des risques géopolitiques persistants, une situation énergétique incertaine pour l’hiver prochain ainsi que des pressions inflationnistes supérieures à la moyenne et qui s’avèrent durables. La place économique suisse a démontré sa résilience dans les périodes difficiles. Cet atout qualitatif se doit d’être préservé face à l’émergence de ces nouveaux défis, tels que les cyber-risques décrits ici. Car une chose est sûre: les nouveaux défis, notamment dans le domaine cyber, sont voués à croître.»

A lire aussi...