L’Agence de l’Union européenne pour la cybersécurité (ENISA) a publié, le 23 novembre, son troisième rapport sur les investissements des entreprises « essentielles » de l’UE en matière de cybersécurité en 2021, d’après la directive NIS. L’objectif de cette dernière est d’assurer un seuil de sécurité pour les réseaux et les systèmes d’information des infrastructures critiques et sensibles des pays de l’Union européenne. L’étude de l’ENISA montre une baisse de la part des budgets IT allouée par les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) à la cybersécurité.
Des chiffres en berne d’après l’ENISA
Pour son rapport, l’ENISA a récolté les données de 1080 entreprises, au sein des 27 pays membres de l’Union européenne, considérées comme « essentielles ». Cette liste regroupe notamment les sociétés qui, si elles étaient touchées par une cyberattaque de grande envergure, pourraient grandement impacter l’économie, les prestataires numériques et la société de manière générale. Parmi les secteurs concernés se trouve celui du transport, de la santé, des banques, mais également les places de marchés en ligne ou les moteurs de recherche.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Dépense des entreprises européennes dans l’IT en fonction des secteurs. Capture d’écran : ENISA.
Sur les plus de mille acteurs sondés, l’ENISA a constaté que leur budget IT dédié à la cybersécurité est passé de 7,7 % en 2020 à 6,7 % en 2021. Les entreprises ont dépensé 4 millions d’euros en moyenne en 2021 contre 10,4 millions d’euros en 2020. Une baisse à tempérer pour l’ENISA qui indique qu’un « budget plus faible n’implique pas nécessairement un niveau inférieur de maturité ».
Pour l’agence européenne, ce recul peut s’expliquer par « les conditions macroéconomiques » et le large panel d’entreprises du secteur de l’énergie et de la santé, « qui ont généralement tendance à allouer un pourcentage plus faible de leurs budgets informatiques à la sécurité de l’information ».
Néanmoins, un investissement moindre dans les mesures de cybersécurité peut vite coûter cher. En 2021, la perte liée aux cyberattaques s’élève à 369 000 euros en moyenne en 2021, contre 169 000 euros l’année précédente. Les attaques par rançongiciels, quant à elles, montent jusqu’à 541 500 euros en moyenne. Pour se protéger de ces attaques, les géants du milieu souscrivent à des assurances cyber. Ainsi, l’année dernière, 30 % des OSE et des FSN étaient assurés, contre 43 % en 2020.
La France, l’Allemagne et l’Italie sont les pays qui octroient la plus grande part de leur budget IT à la cybersécurité. Une information à nuancer, car ces trois états regroupent les plus grands opérateurs « essentiels ».
Dépense des pays membres de l’UE dans l’IT. Capture d’écran : ENISA.