A l’issue d’un atelier mené conjointement avec la Lloyds et la CFPA (l’Ecole d’Assurance) en 2019 sur la thématique « Cyber risques - Etat des lieux et perspectives futures », la Société Centrale de Réassurance a lancé une enquête auprès des PME. L’objectif étant d’identifier et de hiérarchiser les principaux risques perçus par les entreprises, en l'occurrence le risque de cyberattaques et de cerner les perceptions que les entreprises ont de leur propre gestion de la cyber-sécurité (importance du SI , sensibilité des utilisateurs aux  cyber- risques, efficacité perçue des mesures prises face aux cyber-risques).

Récemment finalisée et couvrant des PME Marocaines opérant dans l’industrie, les services et d’autres secteurs (BTP, Transports et logistique, Tourisme, restauration & loisirs, Santé, Energie, NTIC et services, offshoring) dont le chiffre d’affaires ne dépasse pas 175 Mdhs, l’étude a permis de positionner les cyber-attaques comme troisième risque perçu (63% des répondants) après le changement des tendances du marché (77% des répondants) et l’incendie (71% des répondants). A ce titre, il est à noter que la proportion d’entreprises qui s’estiment exposées au risque de cyber-attaque est plus importante pour les grandes entreprises.

Au titre du risque perçu de cyber-attaque, 71% des répondants estiment que l’utilisation des appareils de l’entreprise pour des usages personnels constitue un risque pour la sécurité du SI de l’entreprise et près de 60% des répondants pensent que l’utilisation d’appareils personnels par les salariés constitue un risque pour la sécurité du SI de l’entreprise.

Toujours en ce qui concerne les risques perçus de cyber-attaque liés aux pratiques des utilisateurs, 49,5% des répondants considèrent que le télétravail constitue un risque pour la sécurité du SI de l’entreprise et 37% estiment que l’utilisation du Cloud peut représenter un risque.

En matière de cyber-sécurité, la quasi-totalité (95%) des entreprises Marocaines sondées estime que le SI est très important pour leur activité : 65% des répondants considèrent qu’il est crucial (particulièrement les grandes PME) et 31% des répondants le trouvent important.

Par ailleurs, 96% des entreprises interrogées estiment que leurs employés sont sensibilisés et conscients des cyber-risques et plus des deux tiers (68%) considèrent que leurs employés prennent les précautions nécessaires en matière de cyber-sécurité. Cette proportion est plus importante pour les grandes PME. La quasi-totalité (92%) des entreprises sondées estime que les mesures prises pour assurer la cyber-sécurité de leur SI sont efficaces.

Enfin, en matière d’usages et d’habitudes en ce qui concerne la cyber-sécurité, la grande majorité (75%) a recours au cloud pour stocker des données sensibles tandis que 93% des répondants déclarent n’avoir jamais subi de cyber-attaque.

Alors que la totalité utilise un antivirus/firewall, les techniques de VPN et de cryptographie sont plus utilisées par les grandes PME et plus de la moitié des entreprises, notamment les plus grandes, déclarent mener régulièrement un audit interne de la cyber-sécurité du SI, avoir déjà réalisé un audit externe, et disposer d’un plan documenté pour la gestion des incidents.

Globalement, la majorité des grandes PME alloue jusqu’à 10% du budget SI à la cyber-sécurité, tandis que la majorité des plus petites PME y consacre moins de 1%.

Seule une minorité (13%) déclare connaître le concept de cyber-assurance et ses avantages pour l’entreprise.

Et pourtant, lors de l’atelier relatif aux « Cyber risques - Etat des lieux et perspectives futures », l’ensemble des intervenants se sont accordés sur les risques que les cyber-attaques peuvent entraîner notamment en termes des dommages financiers.

CFC, fournisseur d'assurance soutenu par Lloyds et spécialisé dans la protection des entreprises contre les cyber-risques, qui intervenait lors de cet atelier a mis l’accent surles ransomwares et l'ingénierie sociale qui sont aujourd’hui les deux plus grandes menaces auxquelles sont confrontées les entreprises. 

Les ransomwares, qui sont des logiciels malveillants que les attaquants déploient sur le réseau informatique des victimes pour rechercher et chiffrer les données et les systèmes critiques de l'entreprise, ont représenté 20% des incidents traité par CFC en 2018 et ont entraîné des dizaines de millions de dollars de pertes financières.

L'ingénierie sociale, qui est la tromperie d'individus au sein de l'organisation victime, en les induisant en erreur pour transférer de l'argent aux agresseurs, a représenté 25% des cas traité au cours de la même année.  Les incidents d'ingénierie sociale touchent généralement les petites entreprises.

Pour sa part, Orange Cyberdéfense qui intervenait également lors de cet atelier, récapitulait les profils des cyber attaquants en 3 catégories :

• Les Pirates experts qui agissent pour obtenir des avantages stratégiques et qui représente 20% de la population des cybers attaquants.

• Les Cybercriminels qui agissent pour monétiser leurs actions et qui représente 70% de cette population.

• Les script kiddies qui agissent pour la gloire et qui représente 10% de ladite population.