1Cyber survey 2017 Vanbreda Risk & Benefits

Cyber survey 2017

2Cyber survey 2017 Vanbreda Risk & Benefits

Table des matières

1. Introduction 3

2. Résultats de l’étude 4

3. Conclusion 12

4. À propos de l’étude 13

5. ÀproposdeVanbredaRisk&Benefits 14

3Cyber survey 2017 Vanbreda Risk & Benefits

1. Introduction

Il ne se passe pas un jour sans que la cybercriminalité ne fasse la une des journaux. Fuite de données sensibles relatives à la vie privée, extorsion d’entreprises par des pirates informatiques ou e-mail d’hameçonnage conduisant à une panne d’un système critique à l’entreprise : ce n’est pas de la science-fiction, mais bien une réalité.

Comment les entreprises belges se protègent-elles contre l’augmentation rapide des cyberrisques ? Et comment se préparent-elles à l’arrivée du règlement général sur la protection des données, la nouvelle directive européenne relative à la protection de données à caractère personnel ? Telles étaient les principales questions posées aux entreprises participantes dans le cadre de ce rapport sur le cyberrisque 2017.

Vous trouverez dans les pages suivantes une présentation des résultats de notre étude, à laquelle plus de cent entreprises au total ont participé. Si les résultats sont étonnants, ils ne nous surprennent pas en tant que cyberexperts.

Ce que l’on peut surtout retenir de cette étude c’est que les entreprises belges sous-estiment les dangers de la cybercriminalité, même si 11 % d’entre elles admettent en avoir été la victime l’an dernier. La mise à jour des logiciels de protection, comme les programmes antivirus, n’est pas assurée quotidiennement par plus d’un tiers des entreprises interrogées. Elles ouvrent ainsi la porte aux pirates informatiques qui arrivent facilement à leur fin, (même) en faisant appel à des techniques plus anciennes.

La nouvelle législation européenne en matière de données n’est pas non plus la principale préoccupation des entreprises ayant participé à cette étude, et ce alors que son non-respect peut donner lieu à des amendes colossales pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel total.

Dans notre rôle de sensibilisateur aux dangers de la cybercriminalité, nous ne pouvons assez souligner qu’une action urgente s’impose. Ce n’est qu’en adoptant les bonnes précautions que le mode opératoire de plus en plus professionnel des cybercriminels pourra être éradiqué.

Mais ce n’est que le début. Car même les meilleures des précautions ne suffiront pas à vous prémunir complètement des dangers croissants de la cybercriminalité. Une bonne solution d’assurance constitue dès lors un complément à une bonne politique de cybersécurité.

Tom Van Britsom Cyberexpert Vanbreda Risk & Benefits

Tom Van Britsom Cyberexpert Vanbreda Risk & Benefits

Christophe Liekens Cyberexpert Vanbreda Risk & Benefits

4Cyber survey 2017 Vanbreda Risk & Benefits

2. Résultats de l’étude

La mise à jour continue des produits de protection comme les programmes antivirus est cruciale pour permettre aux entreprises de se protéger contre les attaques en constante évolution. Il est dès lors étonnant que seuls 65,45% des entreprises interrogées le fassent sur une base quotidienne. Cela signifie cependant que près d’un tiers d’entre elles le font sur une base mensuelle (23,64%) ou annuelle (10,91%), ce qui selon les cyberexperts est largement insuffisant.

Le fait de ne pas mettre quotidiennement à jour des programmes de protection constitue une erreur de sécurité cruciale source de nombreux déboires. Les virus (tels que des cryptolockers ou malware) qu’utilisent les cybercriminels pour mener chaque jour des attaques d’envergure sont quotidiennement adaptés pour contourner les programmes antivirus. Ces nouveaux « types » de virus passent ainsi très facilement à travers les mailles de pare-feu et d’autres applications de protection n’étant pas actualisés quotidiennement.

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Tous les jours

Une fois par mois

Une fois par mois

Q7

65,45%

23,64%

10,91%

À quelle fréquence les produits de sécurité tels que les programmes antivirus sont-ils mis à jour?

L’étude se penche sur 2 grands thèmes :

1. Comment les entreprises belges se protègent-elles contre la cybercriminalité? 2. Comment les entreprises belges se préparent-elles à

l’arrivée du nouveau règlement général européen sur la protection des données (RGPD) qui entrera en vigueur le 25 mai 2018?

5Cyber survey 2017 Vanbreda Risk & Benefits

Dans notre Cyber Survey 2017, nous avons demandé aux participants s’ils avaient été l’an dernier victimes de la cybercriminalité. Près de 11% ont répondu par la positive. Ce qui signifie qu’une entreprise sur 10 parmi celles interrogées a subi des dommages financiers à la suite de la cybercriminalité, ce qui fait aujourd’hui du cyberrisque le risque d’entreprise le plus probable.

Parmi les entreprises affectées, la grande majorité a admis qu’il s’agissait d’un cryptolocker. Ce type de virus crypte certains fichiers ou systèmes d’une entreprise, après quoi le cybercriminel demande une rançon en échange d’un décryptage. Pour l’une des entreprises interrogées, l’ensemble du système de l’entreprise a été touché, alors que pour l’autre, il s’agissait du site web de l’entreprise.

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Oui

Non

Extra vraag

10,9%

89,1%

Avez-vous été touché l’an dernier par une forme de cybercriminalité?

6Cyber survey 2017 Vanbreda Risk & Benefits

Plus de 8% des entreprises interrogées ne disposent pas de procédures de récupération et de sauvegarde pour les systèmes, données et informations critiques. Même s’il s’agit d’une faible minorité, ce résultat reste alarmant.

Il signifie en effet qu’une partie des entreprises belges peut perdre définitivement ses données après une cyberattaque: données client, données comptables, données cruciales à l’exécution de processus critiques pour l’entreprise, etc. L’impact pour l’entreprise en question peut difficilement être surestimé.

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Oui

Non

Q8

91,96%

8,04%

Disposez-vous de procédures de sauvegarde et de récupération pour vos systèmes, données et informations critiques ?

7Cyber survey 2017 Vanbreda Risk & Benefits

Près d’un cinquième des entreprises interrogées conservent plus de 50% de leurs données dans le cloud. 17% d’entre elles conservent entre 10 et 50% de leurs données dans le cloud. Cette situation ne crée pas un risque de sécurité accru, mais nécessite une analyse des risques différente. Le caractère virtuel du cloud induit la présence de risques supplémentaires à couvrir.

Même lorsque des pirates informatiques visent un centre de données et dispersent des données sensibles, l’entreprise cliente reste en effet responsable. Informez-vous donc bien auprès de votre prestataire de services, lisez soigneusement vos contrats et évitez d’avoir un faux sentiment de sécurité.

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

< 10%

Entre 10 et 50%

> 50%

Q6

63,39%

16,96%

19,64%

Quel pourcentage de vos données stockez-vous dans le cloud?

8Cyber survey 2017 Vanbreda Risk & Benefits

Les cybercriminels attaquent les entreprises par le biais du réseau informatique, mais différentes études ont démontré que l’homme restait le maillon faible. Dans le cas du hameçonnage, il s’agit souvent de collaborateurs qui ouvrent un e-mail malveillant, exposant l’infrastructure IT de leur employeur à des virus. Même lors d’une fuite de données, il n’est pas rare qu’il soit question d’un collaborateur manipulant, souvent involontairement, maladroitement un fichier et rendant une grande quantité de données sensibles publiques.

Il est dès lors encore plus étonnant de voir que près de 59% des entreprises ayant participé à notre enquête ne s’attellent pas à la sensibilisation de leurs collaborateurs aux cyberrisques. Tout comme l’absence de mises à jour quotidienne des logiciels de protection, il s’agit d’un grave risque de sécurité pour les entreprises concernées.

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Nous avons développé unepolitique autour des cyber- risques et nous donnons des formations à notre personnel.

Nous avons développé une politiqueautour des cyberrisques.

Nous ne faisons rien.

Q9

58,93%

23,21%

17,86%

Comment sensibilisez-vous vos collaborateurs aux cyberrisques?

9Cyber survey 2017 Vanbreda Risk & Benefits

Parmi les entreprises interrogées, près de 39% disposent de données personnelles sensibles et pratiquement toutes les entreprises possèdent également des données sur leurs propres collaborateurs.

Les entreprises qui rassemblent des données à caractère personnel (donc pratiquement toutes les entreprises) devront à partir du 25 mai 2018 se conformer à un nouvel ensemble de règles reprises dans le Règlement général sur la protection des données (RGPD).

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Aucunedonnée

Données d’entreprise + données des collaborateurs

Données d’entreprise + données des collaborateurs +données à caractère personnel sensibles

Q10

2,68%

58,93%

38,39%

De quel type de données dispose votre entreprise?

10Cyber survey 2017 Vanbreda Risk & Benefits

Même si énormément d’entreprises disposent de données à caractère personnel, très peu se préoccupent déjà de la nouvelle législation européenne relative au respect de la vie privée. Seuls 23,64% d’entre elles admettent adopter activement des mesures afin de conformer leur entreprise à la législation RGPD.

Ce qui signifie que plus de 75% des entreprises ne le font pas, alors que toutes les entreprises belges seront tenues de le faire d’ici un an. Le fait que 36,36% des entreprises interrogées n’aient jamais entendu parler du RGPD est dans ce cadre totalement déroutant.

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Oui, j’en tiens activement compte.

Oui, j’en ai entendu parler.

Non, je n’en ai jamais entendu parler.

Q11

23,64%

40,00%

36,36%

Connaissez-vous le Règlement général sur la protection des données (RGPD ou GDPR en anglais)?

11Cyber survey 2017 Vanbreda Risk & Benefits

Le RGPD oblige nombre d’entreprises (dont les entreprises publiques ou organisations traitant des données pénales) à nommer un Data Protection Officer. Ce dernier doit veiller à ce que l’entreprise en question conserve et traite les données conformément au RGPD.

Pour cependant être conforme à la nouvelle législation, chaque entreprise a intérêt à désigner une personne responsable de la sécurité et une autre du respect de la vie privée. Ces collaborateurs garantissent en effet que l’entreprise suivra les étapes nécessaires afin de se protéger contre la cybercriminalité, éviter les fuites de

données et (si certaines données venaient à tout de même être rendues publiques) immédiatement notifier une éventuelle fuite à la commission vie privée.

Il est dès lors surprenant de voir qu’environ la moitié des entreprises interrogées ne disposent d’aucun membre du personnel endossant les responsabilités dans le domaine de la sécurité et de la vie privée. Il s’agit une fois encore d’un grave risque de sécurité pour les organisations en question.

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Oui

Non

Q13

50,89%

49,11%

Avez-vous désigné un responsable pour la protection de la vie privée et la sécurité?

12Cyber survey 2017 Vanbreda Risk & Benefits

3. Conclusion: le RGPD, accélérateur de la cybersécurité?

Les entreprises belges sont-elles suffisamment protégées contre la cybercriminalité? Et sont-elles préparées à l’arrivée de la nouvelle législation européenne relative à la protection des données? Sur la base des résultats de cette étude, nous devons apporter une certaine nuance.

À l’heure actuelle, une partie des entreprises interrogées a clairement conscience des conséquences d’une protection insuffisante contre les cyberrisques. Elles mettent quotidiennement à jour leurs programmes antivirus (65%), sensibilisent leur personnel aux nouveaux cyberdangers (17,86%) et s’occupent activement de la mise en œuvre de processus dans le cadre de la législation européenne RGPD (23,64%).

Une autre partie sous-estime cependant fortement les dangers. Le fait que 11% des entreprises admettent avoir été l’an dernier victime d’un cybercrime prouve que le risque est imminent. Le fait que 58,93% des entreprises interrogées ne sensibilisent pas les membres de leur personnel aux cybermenaces croissantes et que 36,36% n’aient encore jamais entendu parler de la législation RGPD fait à cet égard réfléchir.

En tant que cyberexperts, nous espérons que la nouvelle législation européenne relative à la protection des données agira comme un accélérateur qui incitera les entreprises à accroître la sensibilisation aux cyberrisques et aux fuites de données. Il ne faut plus que les entreprises se pensent insaisissables pour les cybercriminels.

C’est cette attitude qui explique le nombre élevé d’attaques de cryptolockers, de fuites de données et de cas d’hameçonnage. Il est dès lors plus que jamais nécessaire d’avoir au sein de l’entreprise une personne responsable de la sécurité et du respect de la vie privée, même si l’entreprise en question n’est pas légalement tenue de le faire. Le dirigeant d’entreprise, mais aussi les collaborateurs ont une importante responsabilité à jouer dans ce cadre.

Mais comme déjà expliqué dans l’introduction, même les meilleures précautions ne suffisent pas à prémunir entièrement une entreprise contre la cybercriminalité. Même les entreprises mettant quotidiennement à jour leurs programmes antivirus ont été au cours de ces dernières années victimes de cybercriminels. Une bonne assurance est la seule garantie véritablement perméable contre les pertes financières découlant d’une cyberattaque.

Dans le cadre du RGPD, une cyberassurance de ce type peut en outre également s’avérer utile. La nouvelle directive européenne relative à la protection des données impose des amendes colossales aux entreprises en infraction à la législation RGPD. Vu qu’il s’agit d’amendes administratives, et non d’amendes pénales, elles sont assurables par le biais d’une cyberpolice. Et c’est une bonne nouvelle pour les entreprises souhaitant se couvrir à 100% contre ces nouveaux risques. Mais elle ne doit bien évidemment pas les empêcher de poser les étapes cruciales nécessaires pour ramener tout risque à un minimum.

13Cyber survey 2017 Vanbreda Risk & Benefits

110 entreprises belges ont participé à l’étude Vanbreda Risk & Benefits. Elles ont été soumises à une brève enquête évaluant leurs actions dans le domaine de la cybersécurité et la mise en conformité de leur entreprise avec le RGPD.

Les graphiques suivants illustrent de manière plus détaillée le profil des entreprises participantes.

Q2

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

< 25 millions euros/an 63,96%

Entre 25 et 100 millionseuros/an

24,32%

> 100 millions euros/an

11,71%

Q1

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Production-fabrication, commerce de gros, logistique, construction

Commerce de détail, transport, entertainment, enseignement, immobilier, prestataire de services professionnels

Organisme financier, télémarketing, traitement de données, service internet, télécom

autres domaines

48,21%

25,89%

8,04%

17,86%

Dans quel domaine êtes-vous actif? À combien s’élève votre chiffre d’affaires?

4. À propos de l’étude

14Cyber survey 2017 Vanbreda Risk & Benefits

5.ÀproposdeVanbredaRisk&Benefits

Vanbreda Risk & Benefits est le plus grand courtier en assurances et consultant en risque indépendant de Belgique et fait autorité à l’échelle du Benelux dans le domaine de la consultance en assurances. Depuis 1937, Vanbreda apporte des réponses aux questions des entreprises, des organismes publics et sociaux et des entrepreneurs en matière de risques.

Nos 600 collaborateurs conseillent un peu plus de 60 000 clients en matière d’assurances, de gestion des risques et d’Employee Benefits. La connaissance approfondie des activités et des risques de nos clients, un savoir-faire technique pointu et une prestation de services optimale forment les pierres angulaires de notre succès, qui se traduit par la fidélité de plus de 95 % de notre clientèle.

En notre qualité de leader du marché, nous percevons mieux que quiconque les nouvelles tendances de notre monde de l’assurance

en pleine évolution. Nos experts y répondent en développant des produits innovants permettant de répondre à vos besoins en assurance les plus récents. La protection contre les cyberrisques en est un parfait exemple. Grâce à des technologies novatrices et des outils en ligne propres, comme eServices, nous améliorons notre efficacité et simplifions la communication pour nos clients.

Via notre réseau européen EOS RISQ et le partenariat international Lockton Global, nous proposons aux quatre coins du monde les mêmes services de qualité supérieure.

cybersecure@vanbreda.beT. + 32 3 292 00 13

www.vanbreda.be

15Cyber survey 2017 Vanbreda Risk & Benefits

Nous contacter

Vanbreda Risk & Benefits

Plantin en Moretuslei 297

2140 Anvers

cybersecure@vanbreda.be

T. + 32 3 292 00 13 www.vanbreda.be