ETI : les menaces les plus redoutées


Comme les grands groupes, les entreprises de taille intermédiaire (ETI) sont aussi victimes de cyberattaques, menaces face auxquelles elles ne sont pas toujours bien préparées.

Que craignent-elles le plus ? Quelles différences selon les ETI ? Focus.​

Selon l’Institut national des statistiques et des études économiques (INSEE), la qualification d’ETI s’applique à toute entreprise dont le nombre de salariés est compris entre 250 et 4999*. Groupe bien trop hétérogène pour permettre la reproduction d’une même réponse de protection, les ETI requièrent ainsi une approche de la cybersécurité complexe : si elles auraient besoin d’une vision sur-mesure, elles n’en ont pas toujours les moyens, qu’ils soient humains ou financiers.

Pourtant, elles demeurent ciblées par les attaquants, au même titre que les PME ou les grands groupes. Selon une étude menée en 2018 par Orange Business Services, en partenariat avec L’Usine Nouvelle et B2B Intelligence**, les ETI déclarent, à 66%, avoir déjà subi un incident de cybersécurité au cours des douze derniers mois. Pour 28% d’entre elles, ces attaques ont été multiples.

Les ETI et PME, elles aussi victimes de cyberattaques

Ainsi, elles redoutent majoritairement :

  • la paralysie de leur système d’information (SI) et la demande de rançon (64% d’entre elles) ;
  • la destruction ou l’altération de leurs données (56%) ;
  • l’infection par un logiciel espion (48%) ;
  • le blocage ou le ralentissement de leur(s) site(s) de production (31%) ;
  • l’espionnage industriel (29%).

Selon la taille de l’entreprise (mais aussi son secteur d’activité), ces chiffres peuvent évidemment varier. Par exemple, si l’attaque par ransomware demeure la plus redoutée par les sociétés de 250 à 1000 salariés – 79% d’entre elles – elle n’arrive qu’en deuxième position pour les entreprises de plus 1000 collaborateurs. Pour ces dernières, l’infection par un logiciel espion reste leur première crainte (50%). Suivent ensuite la destruction des données (46%) et à égalité (42%) : l’espionnage industriel et la demande de rançon.

Face à ces risques bien réels, mais très diversifiés, les ETI ne savent pas toujours quelles réponses apporter. Si elles appliquent en majorité les règles de base de la cybersécurité (firewalls, antivirus, pratiques courantes de protection comme le contrôle des accès et les mots de passe), la normalisation d’une politique de sécurité mise à jour régulièrement reste trop souvent marginale. Ainsi, pour faire face à des budgets restreints, mais aussi un manque de personnel formé à la cybersécurité, elles sont contraintes de faire des choix. 

Dans cette série d’articles consacrée aux ETI, Orange Cyberdefense tentera d’apporter un éclairage à la fois simple et pratique sur deux problématiques majeures rencontrées par les ETI :

  • la diversité des besoins de cyberprotection et la bonne approche à adopter ;
  • la gestion du facteur humain, risque le plus redouté par les ETI (65%).

Notes

*Le chiffre d’affaires d’une ETI ne doit pas excéder 1,5 milliard d’euros. Une entreprise de moins de 250 salariés, dont le chiffre d’affaires est supérieur ou égal à 50 millions d’euros est également considérée comme une ETI selon l’INSEE.

**Etude quantitative en ligne menée auprès de 200 entreprises, du 30 novembre au 22 décembre 2017.