La perception des de la cybersécurité par les dirigeants d'entreprise - Orange Business Service - Par OpinionWay - janvier 2016

1. La perception des enjeux de la
cybersécurité par les dirigeants
d’entreprise
Janvier 2016
15 place de la République 75003 Paris

2. LA
MÉTHODOLOGIE
2

3. La méthodologie
Toute publication totale ou partielle doit impérativement utiliser la mention complète suivante :
« Sondage OpinionWay pour Orange Business Services »
et aucune reprise de l’enquête ne pourra être dissociée de cet intitulé.
L’étude a été réalisée auprès d’un échantillon de 222 dirigeants d’entreprise se décomposant de la façon
suivante :
• 201 cadres dirigeants, exerçant leurs fonctions dans des entreprises de 1000 salariés et plus.
• 21 membres de la Direction Générale, exerçant leurs fonctions dans des entreprises de 250 salariés et
plus, n’appartenant pas à la DSI.
Les dirigeants ont été interrogés par téléphone
sur système CATI (Computer Assisted Telephone
Interview).
Les cadres dirigeants ont été interrogés par
questionnaire auto-administré en ligne sur système
CAWI (Computer Assisted Web Interview).
Les interviews ont été réalisées du 27 novembre 2015 au 4 janvier 2016.
OpinionWay a réalisé cette enquête en appliquant les procédures et règles de la norme ISO 20252.
Les résultats de ce sondage doivent être lus en tenant compte des marges d'incertitude : 3 à 7 points au plus
pour un échantillon de 200 répondants.
3

4. LES
RESULTATS
4

5. La place de la cybersécurité
dans les enjeux de l’entreprise
01
5

6. Les évocations spontanées de la cybersécurité
Quels mots vous viennent à l'esprit lorsque vous pensez à la cybersécurité dans les entreprises ?
Question ouverte, réponses spontanées
18%
17%
13%
7%
4%
3%
8%
7%
7%
6%
6%
6%
5%
5%
4%
2%
14%
1%
espionnage (industriel)/ concurrence
hacker/pirate/piratage
Sous-total : les données
...vol de données
...données (sans précisions)
...protection des données sensibles
système de protection (antivirus, cryptage, sauvegarde)
virus
internet/informatique
attaque/intrusion
sécurité
prévention
risque/menace
spam/phishing
fragilité
confidentialité
autre
aucun
1.1
6

7. Les acteurs concernés par la cybersécurité
Q. Parmi les acteurs suivants, lequel est le plus exposé aux questions de cybersécurité ?
66%
17%
17%
Les entreprises
Les individus
Les Etats
1.2
7

8. La place de la cybersécurité dans les enjeux de l’entreprise
Parmi les enjeux suivants, lesquels sont prioritaires dans votre entreprise ?
Trois réponses possibles, total supérieur à 100%
58%
53%
26%
24%
23%
20%
18%
17%
16%
12%
4%
La satisfaction des clients
Les résultats financiers
L'image de l'entreprise, la communication externe
La recherche et développement, l'innovation
La cybersécurité
Le développement et la mise en oeuvre des stratégies
La satisfaction des actionnaires
Le bien-être des salariés, la communication interne
La sécurité des locaux, des infrastructures
Le recrutement et les ressources humaines
L'équipement (mobilier, informatique et logiciel)
NSP : 1%
1.3
8
Cité au 9ème rang par les membres
de la direction générale

9. 30%
55%
13%
2%
Stratégique + Important Secondaire + Sans importance
85% 15%
Un enjeu
stratégique
Un enjeu
important
Un enjeu
secondaire
Un enjeu sans
importance
L’importance stratégique de la cybersécurité
De manière générale, diriez-vous que la cybersécurité représente un enjeu stratégique, important,
secondaire ou sans importance pour votre entreprise ?
1.4
9
5% pour les
membres de la
direction générale

10. Le sentiment d’exposition aux risques liés à la cybersécurité
Selon vous, vous et votre entreprise êtes-vous très, plutôt, plutôt pas ou pas du tout exposés
aux risques liés à la cybersécurité ?
27%
13%
55%
46%
16%
35%
2%
5%
1%
82%
59%
Votre entreprise
Vous-même en tant que dirigeant
d'entreprise
%Exposé
Très exposé Pas du tout exposé NSPPlutôt exposé Plutôt pas exposé
1.5
10

11. Le niveau de protection dans son entreprise
Vous personnellement, estimez-vous que vous et votre entreprise êtes très bien, assez bien,
assez mal ou très mal protégés face aux risques liés à la cybersécurité ?
18%
14%
62%
64%
15%
16%
3%
4%
2%
2%
80%
78%
Votre entreprise
Vous-même en tant que dirigeant
d'entreprise
%Protégé
Très bien protégé Très mal protégé NSPAssez bien protégé Assez mal protégé
1.6
11

12. Les défaillances de cybersécurité
02
12

13. La cybersécurité et la mise en danger de l’activité
Selon vous, une défaillance liée à la cybersécurité peut-elle présenter un risque opérationnel
pour votre entreprise (c'est-à-dire la mise en danger de l'activité même de votre entreprise) ?
39%
47%
12%
2%
Oui Non
86% 14%
Oui, tout à fait Oui, plutôt Non, plutôt pas Non, pas du tout
13
2.1

14. Les conséquences d’une défaillance de cybersécurité
Si demain, une défaillance de cybersécurité avait lieu contre votre entreprise, estimez-vous que
les dommages seraient très importants, plutôt importants, plutôt pas importants ou pas du tout
importants en ce qui concerne ... ?
41%
37%
37%
30%
36%
29%
23%
22%
22%
45%
47%
46%
48%
38%
43%
47%
46%
42%
10%
14%
14%
19%
19%
21%
24%
29%
32%
3%
1%
1%
1%
6%
6%
5%
2%
3%
1%
1%
2%
2%
1%
1%
1%
1%
1%
86%
84%
83%
78%
74%
72%
70%
68%
64%
%Importants
Très importants Pas du tout importants NSPPlutôt importants Plutôt pas importants
Les relations avec vos clients
L'image de votre entreprise
L'activité de votre entreprise
Les ressources financières de votre entreprise
Les propriétés intellectuelles de votre entreprise
(brevets, savoir-faire, plan stratégique...)
Les relations avec les investisseurs de votre
entreprise
Les relations avec vos fournisseurs
Les biens et les équipements de votre entreprise
Les relations avec vos salariés et dirigeants
14
2.2

15. L’expérience d’une défaillance de cybersécurité
Votre entreprise a-t-elle déjà subi chacune des défaillances de cybersécurité suivantes au cours
des trois dernières années ?
23%
21%
21%
12%
26%
26%
23%
17%
50%
52%
53%
68%
1%
1%
3%
3%
49%
47%
44%
29%
%oui
Oui, plusieurs fois NSPOui, une fois Non, jamais
Provenant d'une attaque externe
Provenant d'une défaillance
humaine interne involontaire
Provenant d'une défaillance
technique interne
Provenant d'une défaillance
humaine interne volontaire
15
2.3
64%
des dirigeants
déclarent que leur
entreprise a subi au
moins une défaillance
de cybersécurité

16. 21%
22%
32%
32%
33%
44%
54%
78%
76%
67%
66%
65%
55%
44%
1%
2%
1%
2%
2%
1%
2%
Un chantage, une tentative d'extorsion de fonds
La destruction de machines et d'équipements
(serveurs, ordinateurs...)
Le vol d'informations sensibles dans un but de
monétisation
Un arrêt temporaire de l'activité de l'entreprise
La destruction d'informations sensibles ou importantes
au bon fonctionnement de votre entreprise
La perte de confidentialité d'informations sensibles
Une coupure des télécommunications
Les dommages subis
Suite à ces défaillances de cybersécurité, votre entreprise a-t-elle subi chacun des types de
dommage suivants ?
Question posée uniquement aux dirigeants dont l’entreprise a subi une défaillance de cybersécurité.
16Oui Non NSP
2.4

17. 66%
70%
71%
73%
33%
28%
28%
25%
1%
2%
1%
2%
Concernant les défaillances humaines
internes volontaires
Concernant les défaillances techniques
internes
Concernant les défaillances humaines
internes involontaires
Concernant les attaques externes
Le retour d’expériences
A la suite de ces défaillances de cybersécurité, votre entreprise a-t-elle prise des mesures spécifiques
pour réduire le risque ?
Question posée uniquement aux dirigeants dont l’entreprise a subi une défaillance de cybersécurité
17
2.5
Oui Non NSP

18. La politique en matière
de cybersécurité03
18

19. Le jugement sur la politique de cybersécurité
Aujourd'hui diriez-vous qu'en matière de cybersécurité votre entreprise à une politique... ?
58%
40%
2%Réactive, vous mettez en place des mesures
une fois que les menaces sont détectées ou
en passe de se concrétiser
Proactive, en essayant d'anticiper les risques et de
bloquer les failles éventuelles avant que celles-ci ne
soient exploitées
NSP
19
3.1

20. L’évolution du budget de cybersécurité
Le budget que votre entreprise consacrera en 2016 à la cybersécurité est-il... ?
20
28%
41%
4%
27%
en augmentation
stable
en diminution
NSP
3.2

21. Les directions concernées par la cybersécurité
Pour vous la cybersécurité, c'est avant tout un sujet qui concerne... ?
Deux réponses possibles, total supérieur à 100%
21
53%
24%
16%
10%
9%
5%
5%
4%
33%
La direction SI / Informatique
La direction générale
La direction de la sureté
La direction stratégique
La direction juridique
La direction commerciale
La direction des ressources humaines
La direction de la communication
(Toutes les directions de manière
transversale)
NSP : 1%
3.3

22. Les freins à la mise en place d’une politique de cybersécurité
Et pour vous, quels sont les principaux freins à la mise en place d'une politique de
cybersécurité dans votre entreprise ?
Trois réponses possibles, total supérieur à 100%
22
41%
31%
29%
27%
20%
19%
16%
16%
15%
13%
Le coût de ces dispositifs
La complexité technique du sujet
La sous-estimation des risques de cyberattaques
La difficulté à faire adopter les bonnes pratiques en interne
Le manque d'informations concernant les risques de cyberattaques
La lourdeur des processus à mettre en place
L'absence de bénéfices visibles
L'absence de bénéfices à court terme
Le manque de ressources humaines pouvant mettre en place et
gérer cette politique
Le manque d'informations sur les moyens et les bénéfices
NSP : 2%
3.4
38% selon la DG
43% selon la DG
38% selon la DG
38% selon la DG