Un incident dans une grande entreprise peut être une apocalypse pour une PME et inversement.

Une étude d'Hiscox vient rappeler qu'une PME, potentiel fournisseur essentiel d'une grande organisation, est plus fragile face aux cyber-risques.

Un DSI ou un RSSI de grande organisation doit-il se préoccuper des cyber-risques frappant les PME ? Oui si celles-ci sont ses fournisseurs ou ses partenaires, de premier ou deuxième rang. Et d'autant plus que la réalisation des cyber-risques pourrait aboutir à la disparition d'un fournisseur essentiel. Car même si, en chiffres bruts, les PME semblent moins frappés par les cyber-menaces, les conséquences relatives à leur taille et leur solidité sont bien plus importantes. C'est ce que rappelle une étude réalisée par le cyber-assureur Hiscox avec Forrester Consulting.

33 % des entreprises de moins de 250 employés déclarent ainsi avoir subi une cyberattaque au cours des douze mois précédents contre 61 % des entreprises de plus de 1000 salariés. De même, le coût direct d'une cyber-attaque est plus faible en valeur brute dans les PME que dans les grands groupes (pour éviter les incidents atypiques, le « maximum » est celui de 95 percentiles de l'échantillon). Le coût médian est de 7000 euros pour les TPE (moins de 10 salariés) et 9 000 euros pour les entreprises de 50 à 250 employés (ETI) contre 22 000 euros pour celles de 1 000 employés ou plus, le coût maximum étant lui de 280 000 euros pour les TPE, 347 000 pour les ETI et 420 000 pour les grands comptes. L'atteinte de ce maximum ou même une valeur entre la médiane et le maximum (ce qui signifie la moitié des entreprises concernées) peuvent de toute évidence amener la disparition pure et simple d'une entreprise pas suffisamment solide.

Au passage, le cyber-assureur Hiscox rappelle, de façon pas tout à fait désintéressée, que les TPE/PME sont très peu assurées contre les cyber-risques.

A propos de l'étude

La cinquième édition de l'étude annuelle Hiscox Cyber Readiness a été réalisée par Forrester Consulting sur la commande du cyberassureur Hiscox. Il est basé sur une enquête menée auprès de 6 042 professionnels participant à la cybersécurité de leur organisation (responsables informatiques, chefs de service, etc.) interrogés entre le 5 novembre 2020 et le 8 janvier 2021. L'échantillon était composé de 1 000 répondants au Royaume-Uni, aux États-Unis, en France et en Allemagne, plus de 500 en Belgique, en Espagne et aux Pays-Bas et 300 en Irlande. Il était représentatif en termes de taille d'organisation et de secteur d'activité.