Très conscientes des risques, mais moins enclins à agir. Une étude HarfangLab dresse le portrait d'entreprises européennes qui mesurent l'impact potentiel d'une cyberattaque sur leurs revenus, sans pour autant en faire systématiquement un sujet prioritaire.
Les entreprises européennes connaissent les risques cyber. Elles peinent pourtant à en faire une priorité stratégique. C'est le constat que dresse HarfangLab dans une étude publiée cette semaine, qui révèle une gouvernance encore très fragmentée et des arbitrages budgétaires qui tournent le dos à la sécurité.
Pourtant, les chiffres parlent d'eux-mêmes. 70 % des dirigeants interrogés estiment qu'un incident cyber peut perturber significativement leurs opérations, et 46 % constatent un impact sur leur chiffre d'affaires dès le jour même de l'attaque. Un quart des entreprises françaises évaluent qu'une interruption d'une seule journée peut amputer 16 % ou plus de leur revenu quotidien.
La France fait par ailleurs figure de mauvaise élève en matière de résilience. Il faut en moyenne 6,04 jours à une organisation française pour retrouver un fonctionnement normal après un incident, contre 4,32 jours en Allemagne, 3,46 en Italie et 3,48 en Autriche.
La cyber, affaire de techniciens
Malgré cette exposition au risque, 58 % des dirigeants reconnaissent que le sujet est traité avant tout comme une problématique technique, et non comme une responsabilité partagée au plus haut niveau. Seulement 18 % des organisations font de la continuité opérationnelle un objectif central de leur stratégie cyber.
La répartition des responsabilités illustre cette confusion. En cas d'incident, la gouvernance est éparpillée entre DSI (42 %), RSSI (25 %) et PDG (9 %). En cas de violation, 33 % des répondants pointent même des prestataires externes. Trop d'entreprises restent sans responsable clairement identifié, ce qui nuit directement à leur capacité de réaction.
Le seul levier qui pousse réellement les directions à s'emparer du sujet reste financier. Les entreprises dont les revenus sont affectés dès le premier jour d'un incident sont deux fois plus susceptibles de placer la cybersécurité en haut de l'agenda.
L'IA avant la défense
Autre signal d'alarme de l'étude : pris dans l'engouement pour l'intelligence artificielle, les dirigeants européens se montrent davantage enclins à investir dans ces nouveaux outils que dans leur sécurisation. Seulement 46 % des organisations imposent une revue de sécurité avant le déploiement d'un outil d'IA, et 40 % ont mis en place des politiques pour encadrer leur usage. Une gouvernance lacunaire qui risquent d'ouvrir de nouvelles brèches.
