Cyberattaques : un risque désormais majeur pour les entreprises

Les données publiées en mars 2025 par l’ANSSI⁽²⁾ dans son dernier rapport sur la cybercriminalité⁽³⁾ confirment une tendance préoccupante : les cyberattaques sont en forte augmentation. En un an, leur nombre a progressé de 17 %⁽³⁾. Le rançongiciel⁽⁴⁾ par exemple, la menace la plus répandue actuellement, a concerné 144 organisations l’an dernier. Et ces attaques touchent désormais tous les types d’organisations, quels que soient leur taille, ou leur secteur. Les PME et ETI sont d’ailleurs désormais en première ligne, représentant près de 4 attaques sur 10⁽³⁾.

Quels sont les différents types de cyberattaques ?

Ces cyberattaques ont le plus souvent une finalité lucrative. Pour tenter d’extorquer de l’argent aux entreprises, les fraudeurs utilisent alors différentes techniques : exploitation de failles de sécurité dans les logiciels ou systèmes informatiques, intrusion dans les réseaux, saturation des sites d’entreprises via des flots massifs de requêtes, ingénierie sociale (phishing⁽⁵⁾, vishing⁽⁶⁾, spoofing⁽⁷⁾, …), mais aussi et surtout, introduction de logiciels malveillants permettant d’accéder aux données stratégiques pour l’entreprise. D’autres formes de cybercriminalité se développent également. Le rapport de l’ANSSI pointe aussi la montée en puissance des attaques à des fins d’espionnage (cyber espionnage⁽⁸⁾), ou de déstabilisation, c’est-à-dire visant à nuire à la réputation d’une entreprise (hacktivisme⁽⁹⁾). Les conséquences pour une entreprise peuvent aller à une coupure de l’activité temporaire à une fermeture définitive. Voyons ensemble les impacts.

Cyberattaque : des impacts majeurs pour les entreprises

Une cyberattaque, en particulier une attaque par rançongiciel, peut de fait avoir de multiples conséquences sur l’activité, la rentabilité ou la réputation de l’entreprise.

• Impacts sur l’activité – Ce type d’attaque a souvent comme effet de bloquer tout ou partie des systèmes d'information de l'entreprise : serveurs, logiciels métiers, messagerie, etc. Ce fut par exemple, dans la sphère administrative, le cas de l’hôpital de Versailles fin 2022, contraint de revenir au papier-crayon pendant plusieurs jours. Pour une entreprise privée, cela signifie un arrêt de la production, une impossibilité de facturer, de livrer ou de communiquer, avec des pertes commerciales immédiates. Le redémarrage peut prendre plusieurs semaines, notamment en l’absence de sauvegardes correctement isolées. Sachant en outre que, dans environ 20 % des cas⁽¹⁰⁾, des données critiques sont irrémédiablement perdues…
• Impacts financiers. Une cyberattaque peut aussi coûter très cher sur le plan financier. Au coût de la rançon elle-même, si elle est effectivement versée, s’ajoutent ceux liés à la recherche d’une réponse à l’incident. Prestataires en cybersécurité, frais juridiques, coût de restauration des données ou achat de nouveaux équipements, l’addition peut rapidement devenir très élevée. Surtout si on y ajoute les pertes d’exploitation liées à la cessation d’activité et l’augmentation des primes d’assurances qui ne manqueront d’être réajustées suite à une cyberattaque.
• Impact réputationnel – C’est un risque supplémentaire dont les entreprises ne sont pas toujours conscientes. Les cyberattaques rendent en effet public ce que beaucoup d’entreprises préfèreraient taire : leurs failles de sécurité. Or des fuites de données sensibles, des blocages prolongés ou la mauvaise gestion de crise peuvent gravement nuire à une réputation. Elles peuvent ainsi conduire les clients et partenaires à remettre en question la fiabilité de l’entreprise, ou les investisseurs à se désengager, en cas de doute sur la gouvernance des risques.

Un impact supplémentaire : le risque réglementaire

Lorsqu’une entreprise est victime d’une cyberattaque, les conséquences ne se limitent pas à l’arrêt de ses systèmes ou à la perte de ses données. Elle s’expose également, en raison de législation de plus en plus drastique, à de nombreux risques réglementaires pouvant entraîner des sanctions, une surveillance accrue ou une mise en cause juridique. On peut citer, par exemple :

• Si des données personnelles sont compromises, le RGPD⁽¹¹⁾ impose de notifier la CNIL⁽¹²⁾ dans un délai de 72 heures, sous peine de sanctions pouvant aller jusqu’à 2 % du chiffre d’affaires mondial.
• Pour les structures relevant de la directive NIS2⁽¹³⁾, les incidents significatifs doivent être signalés à l’ANSSI dans les 24 heures, et peuvent donner lieu à des audits, des injonctions correctives, voire des amendes.
• Au-delà de ces obligations, l’entreprise peut voir sa responsabilité civile ou pénale engagée, par des clients, des partenaires ou même ses salariés si une négligence en matière de sécurité est démontrée. Dans certains cas, les dirigeants eux-mêmes peuvent être tenus pour responsables.
• Une cyberattaque peut également conduire à la perte de certifications ou d’agréments réglementaires, en particulier dans les secteurs sensibles. Elle peut aussi déclencher une surveillance renforcée de la part des autorités.

A retenir

Les entreprises, et leurs directions générale ou financière, doivent impérativement s’approprier la dimension stratégique du risque « cyber ». Ceci passe notamment par :

• La formation et la sensibilisation des collaborateurs au risque « cyber »
• La sécurisation des accès et des systèmes (mise à jour de sécurité, obsolescence des systèmes, etc.)
• Inclure le risque « cyber dans la cartographie des risques financiers
• La préparation d’un plan de continuité et de reprise d’activité testé

En ayant bien à l’esprit qu’en matière de cybersécurité, ne rien faire coûte toujours plus cher que de se préparer…