Démarrons par un chiffre nous permettant de saisir l’importance des failles de sécurité : en 2021, 54% des entreprises françaises déclarent avoir subi entre une et trois cyberattaques[1]. Un chiffre d’autant plus alarmant que depuis la crise sanitaire, près de 58% des entreprises déclarent que le travail à domicile a rendu leur entreprise plus vulnérable aux cyberattaques[2].
Si les pirates informatiques ne redoublent pas simplement d’inventivité pour mettre au point des attaques plus complexes afin de répondre à des motivations pécuniaires ou politiques, ils visent aussi des entreprises bien différentes. Un constat s’impose : de la multinationale bancaire à la petite entreprise de construction, plus personne n’est à l’abri. Cependant, tous les secteurs ne sont pas impactés de la même manière. Malgré une tendance globale clairement à la hausse, certains résistent mieux que d’autres. Sans surprise, les professionnels constatent qu’un nombre de pirates ont tendance à cibler des secteurs d’activité spécifiques en fonction de leur vulnérabilité.
Les secteurs les plus touchés
La santé conserve sa position de leader
Parmi les données les plus sensibles, les données médicales occupent une place importante. Ainsi, dans son Rapport 2021 sur le coût d’une violation de données (Cost of a Data Breach Report 2021)IBM indique que le secteur de la santé représente celui le plus impacté par les failles de sécurité. Avec un coût moyen de 9,23 millions de dollars par incident, il conserve sa triste position de leader pour la dixième année consécutive. Un exemple récent illustre l’enjeu de ce secteur. En 2020, le centre médical de l’Université du Vermont (UVM) a été victime d’une attaque d’ampleur. Pendant plusieurs jours, le personnel n’a pas su quels patients avaient un rendez-vous. Bien que le centre n’ait jamais payé de rançon, le coût de l’attaque est estimé à 50 millions de dollars[3].
Le secteur financier, une cible de choix
En seconde position, le secteur financier a représenté en 2021 un coût moyen de 5,72 millions de dollars. Du fait de sa tendance à la numérisation, le secteur financier regorge de données sensibles et représente une cible de choix pour les cyberattaques. Les responsables de la sécurité de Mastercard ont récemment déclaré au New York Times qu’ils étaient confrontés à plus de « 460 000 tentatives d’intrusion par jour, soit 70 % de plus qu’il y a un an[4] ».
Ces chiffres impressionnants expliquent les investissements réalisés dans ce secteur. En effet, les institutions financières consacrent en moyenne 0,3 % de leur chiffre d’affaires et 10 % de leur budget informatique à la cybersécurité, selon les chiffres du cabinet Deloitte[5].
L’industrie pharmaceutique et les nouvelles technologies toujours exposées, le secteur de l’énergie progresse
Dans ce même rapport, l’industrie pharmaceutique et les nouvelles technologies occupent la troisième et la quatrième place, avec respectivement 5,04 millions et 4,88 millions de dollars en coût moyen de violation des données. De manière générale, les secteurs industriels touchés par des réglementations lourdes sont de loin ceux qui parviennent le mieux à maîtriser les cyberattaques malgré un nombre d’attaques en constante augmentation.
Les secteurs qui s’en sortent le mieux
Le secteur public bon élève
Le secteur public, notamment les activités en lien avec des activités stratégiques pour l’État —Défense, Transport, etc. — occupe une bien meilleure place dans ce classement avec “seulement” 1,93 millions de dollars en coût moyen de faille de sécurité. Cela peut s’expliquer par le fait que ces organisations représentent plutôt des cibles politiques que financières.
OIV et OSE : la maturité
On peut supposer qu’un bon nombre d’entreprises privées disposant du statut d’OSE (Opérateur de Services Essentiels) ou OIV (Opérateur d’Importance Vitale) bénéficient d’une maturité importante en matière de cybersécurité. En effet, ces acteurs sont confrontés de façon continue à tous types de cybermenaces.
Parmi la quinzaine de secteurs concernés par le statut d’OSE, on trouve les acteurs du monde de l’assurance et de l’énergie. En raison de l’impact négatif que pourrait avoir une interruption de leurs services à l’échelle de la France, certains de ces organismes doivent désormais respecter des obligations au regard de la sécurité des systèmes d’information et des réseaux. Cette exigence en matière de cybersécurité peut expliquer pourquoi le secteur de l’énergie est passé du deuxième secteur le plus coûteux à la cinquième place, passant de 6,39 millions de dollars en 2020 à 4,65 millions de dollars en 2021 (une diminution de 27,2 %). En France, l’ANSSI est chargée de piloter la partie cybersécurité du dispositif et accompagne les OIV dans la mise en œuvre des nouvelles mesures.
L’hôtellerie et les médias encore épargnés, mais en progression
Toujours selon le même rapport, les dernières industries parvenant à limiter le coût moyen d’une faille sont l’hôtellerie et les médias, avec respectivement 3,03 millions et 3,17 millions de dollars. Cependant, ce chiffre est à nuancer : la tendance dans ces deux secteurs est à la hausse.
Ainsi, si certains secteurs résistent mieux que d’autres grâce à une plus grande maturité en matière de cybersécurité ou capacité d’investissement dans le domaine, l’écrasante majorité des secteurs font face à un nombre grandissant d’attaque et une augmentation du coût moyen par faille de sécurité, peu importe la taille de l’entreprise ou sa localisation géographique.
Dès lors, il apparaît encore plus essentiel de miser sur de plus grandes campagnes de sensibilisation aux bonnes pratiques, de continuer à investir sur la cybersécurité afin de prévenir au lieu de réagir, et enfin, de mener plus régulièrement des actions d’identification des vulnérabilités et risques.
[1] https://www.usine-digitale.fr/article/etude-ou-en-sont-les-entreprises-francaises-en-matiere-de-cybersecurite.N1774277
[2] https://www.hiscox.fr/courtage/blog/rapport-hiscox-2021-sur-la-gestion-des-cyber-risques
[3] https://www.aamc.org/news-insights/growing-threat-ransomware-attacks-hospitals
[4] https://www.nytimes.com/2019/07/30/business/bank-hacks-capital-one.html
[5] https://www2.deloitte.com/us/en/insights/industry/financial-services/cybersecurity-maturity-financial-institutions-cyber-risk.html
