SAN FRANCISCO – 24 octobre 2024 – Chaque année, les cyberattaques coûtent des milliards de dollars aux entreprises aux États-Unis, mais de nouvelles recherches montrent qu’un quart des PME américaines qui ont été victimes d’une telle cyberattaque ne sont pas conscientes de toutes les conséquences financières des incidents*, en plus des retombées commerciales liées à l’impact opérationnel et aux répercussions sur la main-d’œuvre. Une nouvelle étude* d’Okta, Inc. (NASDAQ : OKTA), leader indépendant des solutions d’identité, a révélé que les PME évoluent dans un paysage inconnu et imprévisible, confrontées à des répercussions considérables sur leur activité.
Cette méconnaissance révèle une vulnérabilité importante. Alors que près de 70 % des PME américaines citent les pertes financières comme principal risque, suivies de près par la perte de confiance des clients (65 %), nombre d’entre elles n’ont pas conscience de la portée des conséquences financières des cyberattaques tant qu’elles n’y sont pas confrontées :
- Une PME sur cinq investit 200 000 $ ou plus dans des mesures de cybersécurité à la suite d’une attaque, comparativement à près de 5 % de celles qui n’ont pas subi de cyberattaque.
- Le rétablissement complet est souvent long. Plus de 50 % des PME se sont remises financièrement en moins d’un mois. Cependant, moins de 50 % affirment avoir rétabli leur réputation au cours de la même période.
« De nombreuses PME se reposent sur une gestion des identités fournie par leurs fournisseurs e-mail, en supposant que ces lacunes ne seront pas exploitées. En réalité, les cybercriminels ciblent ces faiblesses », explique Arnab Bose, Chief Product Officer de la division Workforce Identity Cloud d’Okta. « À mesure que les attaques basées sur l’IA deviennent plus sophistiquées, les PME doivent renforcer leurs protections de l’identité pour défendre leur activité et, surtout, la confiance de leurs clients. »
La dure réalité des cyberattaques
Bien que les PME américaines soient confrontées à d’importantes pertes financières en raison des cyberattaques, les conséquences vont bien au-delà de l’aspect pécuniaire.
Selon les recherches d’Okta, 65 % des dirigeants de PME aux USA considèrent les cyberattaques comme une préoccupation majeure, juste après l’inflation et la hausse des taux d’intérêt. Près de 50 % des propriétaires de petites entreprises qui ont subi une cyberattaque ont signalé un impact négatif notable sur leur bien-être mental.
Le bilan psychologique se répercute également à tous les échelons de l’organisation. Les petites entreprises, avec un personnel et des ressources limités, ont encore plus de mal à rétablir la confiance et le moral après une brèche de sécurité, 41 % d’entre elles faisant état d’un impact direct sur le moral des employés. Près d’un quart des PME avec des effectifs plus importants (100 à 499 employés) ont constaté des impacts importants, ayant plus de mal à rétablir la confiance interne et le moral après une cyberattaque.
La confiance des clients est également un dommage collatéral aux cyberattaques :
- À la suite d’un incident, environ 2 PME américaines sur 5 (plus de 40 %) ont fait état d’une rupture de la confiance des clients, tandis que près de 40 % ont signalé d’importants dommages à leur réputation.
- Ces effets se font sentir encore davantage par les PME ayant un effectif plus important, la moitié d’entre elles signalant des impacts significatifs à la fois sur la confiance et sur la réputation.
« Les conséquences d’une cyberattaque sur les PME aux États-Unis sont considérables, englobant non seulement les répercussions financières, mais aussi les répercussions psychologiques et opérationnelles qui peuvent perturber l’activité des entreprises et leurs effectifs pendant des mois », affirme Arnab Bose. « Les chefs d’entreprise aujourd’hui ont besoin d’une approche proactive et globale de la cybersécurité, capable de s’adapter à leurs besoins opérationnels et budgétaires. En tant que dirigeants, il est essentiel non seulement de mettre en place des mesures de sécurité robustes, mais aussi de donner à leurs équipes la clarté et la confiance nécessaires. »
Les outils de sécurité de base laissent les PME exposées au paysage des menaces sophistiquées actuel
Une majorité écrasante (plus de 90 %) des PME américaines s’appuient principalement sur des mesures de sécurité de base, telles que les logiciels antivirus et les outils comme l’authentification unique (SSO) offerts dans une offre packagée avec les systèmes e-mail, qui ne sont plus suffisants contre les attaques de plus en plus complexes. Les solutions plus avancées, telles que la gestion des identités (40 %) et la biométrie (32 %), restent sous-utilisées, laissant de nombreuses entreprises exposées, en particulier les entreprises comptant 99 employés ou moins.
L’enquête a également révélé qu’une approche multiniveau de la sécurité entraîne une plus grande confiance. Les PME qui utilisent à la fois le MFA et des solutions antivirus se sentent beaucoup plus en sécurité (76 %), et la confiance passe à 84 % lorsque des outils tels que la gestion des identités et la biométrie sont ajoutés.
Il est temps d’adopter une culture de la sécurité
Bien que de nombreuses PME s’inquiètent du stress que les attaques provoquent au sein de leurs équipes, elles sont moins nombreuses à proposer une formation adéquate en matière de cybersécurité. L’enquête a révélé que, bien que la majorité des PME américaines (80 %) soient convaincues que leurs employés comprennent les mesures de cybersécurité de leur entreprise et que 55 % d’entre elles proposent une formation quelconque à leurs collaborateurs, elles sont moins nombreuses à le faire de manière systématique :
- Seul un tiers environ (32 %) des propriétaires de PME fournissent régulièrement des informations pertinentes et des formations en soutien de leurs mesures de cybersécurité.
- Chiffre alarmant, environ une entreprise sur six n’offre aucune mise à jour à ses équipes.
Cet écart entre la confiance et l’action révèle un oubli culturel qui peut rendre une part importante des entreprises vulnérables, même avec la bonne technologie en place.
Il est essentiel de favoriser une culture de sécurité forte pour protéger les PME contre les cyberattaques. Celle-ci arme les employés des outils nécessaires pour reconnaître les menaces, mais crée également une responsabilité collective en matière de maintien de la sécurité. Compte tenu des risques importants auxquels sont confrontées les entreprises à l’heure actuelle, relever ces défis nécessite plus que de simples technologies. Cela exige une approche multidimensionnelle qui comprend des outils, des ressources et une culture de sécurité forte.
