Ce n'est pas l'attaque qui tue l'entreprise — c'est ce qui suit. Arrêt d'activité, coûts de remédiation, perte de clients. Une PME de 20 personnes n'absorbe pas ça.
Je ne sors pas ce chiffre pour faire peur. Je le sors parce qu'il est vrai, documenté, et que très peu de dirigeants le connaissent.
60 % des petites entreprises touchées par une cyberattaque cessent leur activité dans les 18 mois suivants. Source : ANSSI / Cybermalveillance.fr.
Ce n'est pas l'attaque elle-même qui tue l'entreprise. C'est la combinaison de ce qui suit : l'arrêt de l'activité pendant plusieurs semaines (en moyenne 21 jours), les coûts de remédiation (entre 30 000 et 50 000 € rien que pour nettoyer le système), la perte de clients qui n'ont plus confiance, et parfois les pénalités RGPD si des données ont fuité.
Une PME de 20 personnes n'absorbe pas ça.
Ce que j'observe, c'est que le risque cyber est encore perçu comme un risque informatique. Quelque chose dont s'occupe "le gars de l'IT" ou le prestataire externe. Mais le prestataire externe, lui, s'occupe de faire fonctionner les machines — pas de piloter le risque pour l'entreprise.
Il y a une différence fondamentale entre "avoir quelqu'un qui maintient l'IT" et "avoir quelqu'un qui pilote les risques numériques au niveau de la direction".
La première case est souvent cochée. La deuxième, presque jamais.
C'est celle-là qui fait la différence quand l'attaque arrive.