70 % des entreprises belges ont été victimes d’une cyberattaque en 2018

La Belgique figure parmi les pays occidentaux les plus touchés par la cybercriminalité, avec sept entreprises sur dix victimes l’année dernière d’un ou plusieurs cyberincidents. C’est ce que révèle le célèbre ‘Cyber Readiness Report 2019’, publié pour la troisième fois par l’assureur spécialisé Hiscox. En outre, près d’un tiers des entreprises touchées dans notre pays ont été la cible non pas d’une seule, mais d’au moins quatre attaques, sans oublier les conséquences financières de ces dernières.

Les cyberattaques sont le fléau du 21e siècle et les entreprises belges ne sont pas épargnées. Près de 71 % d’entre elles ont été victimes l’année dernière d’un virus, d’une demande de rançon, d’un piratage ou d’un hameçonnage (aussi appelé phishing). La Belgique a ainsi le triste honneur de porter le titre de ‘Reine des cyberattaques’. C’est ce qu’il ressort de l’étude menée par l’assureur Hiscox, qui a passé au crible un échantillon représentatif de 5 400 organisations des secteurs privé et public en Belgique, en France, en Allemagne, aux Pays-Bas, en Espagne, au Royaume-Uni et aux États-Unis. Les résultats de cette étude sont publiés dans le ’Cyber Readiness Report 2019’. Pour la Belgique, quelque 500 entreprises ont été interrogées.

Ce rapport stipule en outre que la menace de cyberattaques est en train de s’intensifier. L’année dernière, les pays occidentaux rapportaient que “seuls” 45 % des entreprises avaient subi une cyberattaque, contre 61 % cette année. Il s’agissait principalement de virus, de demandes de rançons ou d’attaques DDOS (attaque par déni de service) qui visent à paralyser ou mettre hors service les réseaux informatiques.

Plusieurs attaques par an

Soulignons également qu’il est rare que l’attaque reste isolée. Dans de nombreux cas, les entreprises sont visées plusieurs fois par an. Dans notre pays, plus d’une entreprise touchée sur trois, rapportait l’année dernière quatre incidents ou plus. Là aussi, il s’agit d’une augmentation : auparavant, seuls 20 % des entreprises touchées étaient victimes d’un tel bombardement. Nous en sommes maintenant à quelque 30 %. 

“La recrudescence en Belgique pourrait bien être liée à notre paysage économique. Notre pays compte en effet de nombreuses entreprises, moyennes et grandes, actives dans des secteurs très exposés aux cyberattaques. Citons notamment le secteur des transports, les activités liées à l’entreposage et au stockage, les activités IT, notre important secteur des services, ou encore les secteurs dotés d'une structure organisationnelle dépendante de l'informatique. De plus, la peur de faire face à une cyber-menace étant peut-être plus répandue parmi les entreprises belges, cela inciterait davantage les employés à signaler des cyber-attaques potentielles que dans d'autres pays,” explique Guillaume Lemarchand, expert chez Hiscox.

Le maillon faible

Les entreprises peuvent faire beaucoup de choses pour se prémunir contre une cyberattaque, mais, plus d’une fois, elles se sont rendu compte qu’elles n’avaient pas toutes les cartes en mains. Ainsi, une attaque est généralement rendue possible par la présence d’un maillon faible chez un fournisseur ou un partenaire de services externes. Le rapport Hiscox met en évidence cet aspect fort présent en Belgique.

Près de 73 % des entreprises belges — contre 65 % en moyenne dans les autres pays — disent avoir été victimes d’une cyberattaque l’année dernière en raison de lacunes au niveau des chaînes de production dans lesquelles étaient impliqués des acteurs externes à l’entreprise. D’autres part, plus d’un cinquième des entreprises ont rencontré des problèmes causés par des pannes chez des fournisseurs externes de services cloud. Par conséquent, la majorité des entreprises internationales interrogées (54%) évaluent maintenant la sécurité de leur chaîne de production au moins tous les trimestres ou de manière ad hoc. 

Des répercussions financières considérables

Ce qui est interpellant dans cette étude, ce sont les répercussions financières des cyberattaques qui sont souvent beaucoup plus élevées que ce que l’on pourrait penser. Dans les pays occidentaux, les cyberattaques ont coûté en moyenne 329 000 euros pour les entreprises en 2018. Et ce montant augmente chaque année. Cela concerne des dommages tels que le paiement d’une rançon, la perte de marge brute, les frais de réparation et d’avocat, mais aussi, par exemple, les conséquences d’une atteinte à la réputation de la société.

La moyenne est relevée par un certain nombre de cas extrêmes. Par exemple, le rançongiciel ‘NotPetya’ a causé à l’une des plus grandes entreprises de transport maritime au monde, une perte de revenus de plusieurs centaines de millions d’euros. En outre, l'entreprise a dû également réinstaller des milliers de serveurs, d’applications et d'ordinateurs.

Lorsque l’on sait que la Belgique est l’un des pays les plus touchés par la cybercriminalité, il ne faut pas s’étonner que les dommages financiers soient aussi plus élevés pour les entreprises belges.

“ Les entreprises belges sont souvent la cible de plusieurs attaques, ce qui fait grimper la note. Les dommages comprennent entre autre les dommages ​ causés à la réputation de l’entreprise et les honoraires d’avocats. De plus en plus d’entrepreneurs se rendent compte qu’une sécurité optimale n’est plus un luxe inutile. Il est par conséquent essentiel pour les entreprises de continuer à investir dans les technologies de sécurité les plus récentes, dans la formation continue de leurs travailleurs et dans les assurances adéquates contre les attaques”, précise Guillaume Lemarchand, Hiscox.

Seule une petite partie des entreprises belges est assurée aujourd’hui contre la cybercriminalité. Le nombre de sinistres déclarés en 2018 pour des faits de cybercriminalité est dix-sept fois plus élevé qu’il y a cinq ans. Selon les prévisions des experts Hiscox, dix fois plus d’entreprises devraient s’assurer contre la cybercriminalité au cours des huit prochaines années.

À propos du rapport ‘Cyber Readiness Report’ d’Hiscox

Pour cette étude, 5392 professionnels impliqués dans la stratégie de cybersécurité de leur organisation ont été interrogés. Les répondants ont été sélectionnés parmi un échantillon représentatif d'organisations par taille et par secteur. Les répondants ont répondu au questionnaire du 12 octobre au 7 décembre 2018.