Cyblex Consulting et Docaposte viennent de publier leur « baromètre de la cybersécurité ». Selon celui-ci, 20 % des entreprises françaises auraient « déjà subi une cyberattaque ».
Le terme est ici discutable, car il englobe les tentatives de phishing (ou hameçonnage en français), sans préciser si elles ont été réussies ou pas. Dès lors, difficile de dire si la notion de cyberattaque utilisée pour ce baromètre est pleinement cohérente avec celle, par exemple, du Club des Experts de la Sécurité de l’Information et du Numérique (Cesin) : pour ce dernier, c’est « le fait de subir un acte malveillant envers un dispositif informatique, portant atteinte de manière significative à la confidentialité et/ou à l’intégrité de l’information de l’entreprise ou encore à la disponibilité du système d’information, entraînant des pertes financières significatives et/ou une atteinte à l’image de l’entreprise et/ou des efforts significatifs de défense pour contenir et traiter l’attaque ».
Pour autant, le Cesin intègre bien le phishing comme vecteur d’attaque. Et cela qu’il devient possible de souligner des différences entre les deux baromètres, en montrant en particulier les limites des possibilités d’extrapolation des chiffres du Club.
Chez les membres du Cesin, 18 % des répondants victimes d’au moins une cyberattaque l’an passé disent avoir été affectés par un chiffrement de données par ransomware. 31 % déplorent un vol de données, et 29 % une exposition de données. Mais ils ne sont que 9 % à déclarer avoir subi un « effacement ou une altération de données ». Pour Cyblex/Docaposte, le rançongiciel est mentionné par 29 % des victimes, et le vol (ou perte) de données, 28 %.
Pourquoi ces différences ?
Les méthodologies des deux études varient. Le baromètre du Cesin se base sur les réponses de 456 membres du Club, dont 48 % représenent de grandes entreprises, 40 % des ETI, et 12 % des TPE/PME. Dans le lot, 15 % relèvent des services publics.
Ces chiffres sont très loin de représenter le tissu économique français, constitué à 28,8 % de grandes entreprises, en 2021, selon l’Insee, 25 % d’ETI, 28,8 % de PME, et 17,4 % de microentreprises. Et encore : la répartition est là faite sur la base des effectifs salariés en ETP ; pas sur le nombre d’unités légales !
Le Cesin n’a d’ailleurs pas la prétention d’affirmer que ses chiffres reflètent la situation de toutes les entreprises de France : le Club se contente d’indiquer que son échantillon « reflète parfaitement la diversité de la population interrogée ». Une évidence qui renvoie à ses propres responsabilités quiconque serait tenté d’extrapoler.
Côté Cyblex/Docaposte, l’échantillon représente des TPE à 36 %, des PME à 43 %, et des ETI et grands groupes à 21 %. Là encore, la représentativité est loin d’être parfaite, avec une sous-représentation prononcée des ETI et grandes entreprises ; l’inverse, en somme, du biais constaté avec les chiffres du Cesin. À compter que l’on reste sur une répartition basée sur les ETP et pas le nombre d’unités légales, toutefois.
Pour autant, les résultats du sondage Cyblex/Docapost présentent plusieurs intérêts. Tout d’abord, ils suggèrent que la menace des ransomware pèse autant sur les TPE et les PME (mentionné par 26 % pour les premières et 30 % pour les seconces). Leur sur-représentation est cohérente avec la réalité du tissu économique, mais la plus forte exposition au risque des ETI et grands groupes – mécanique, pour des questions de surface d’attaque, de complexité des systèmes, du multiplication des identités, voire tout simplement de chiffre d’affaires et de potentiel d’extortion – est susceptible de compenser. Les auteurs de l’étude Cyblex/Docapost relèvent d’ailleurs que les petites ETI et les grandes comptes concentrent les entreprises « ayant été le plus souvent cyber-attaquées ».
Accessoirement, selon le sondage Cyblex/Docaposte, 42 % des ETI et 49 % des grands comptes se sont dits avoir déjà été victimes de cyberattaque. Ce qui rejoint peu ou prou les données du Cesin et conforte non seulement une tendance applicable à ce profil d’entreprise ainsi que l’importance de la spécificité des TPE et des PME.
Certes, les chiffres de Cyblex/Docaposte portent sur une période de temps non-bornée, contrairement à ceux du Cesin (12 mois). Mais la menace des ransomware a véritablement explosé en 2021 et les chiffres du Club sur cette menace sont restés, en moyenne sur les trois dernières éditions du baromètre, relativement stables.
Dès lors, l’estimation selon laquelle 5,8 % des entreprises françaises auraient déjà été victimes de rançongiciel, à partir des chiffres de Cyblex/Docapost, apparaît sensiblement plus raisonnable qu’une extrapolation brute et sans nuance de ceux du Cesin. Même si ces derniers semblent pertinents pour les ETI et grands comptes.