Ces dernières années, les cybercriminels deviennent de plus en plus sophistiqués, et les attaques se multiplient à un rythme alarmant, avec des conséquences souvent dramatiques pour les entreprises. Une bonne prévention cyber coûte donc moins cher qu’une remédiation. Face à la pression réglementaire et aux risques financiers, opérationnels et réputationnels, les entreprises ont ces dernières années renforcé leur posture cyber, pour en faire un levier commercial et un avantage compétitif.
Rédaction : Marc Auxenfants
Aujourd’hui, plus aucune société ne peut gérer son activité, ses actifs et ses ressources sans Internet ni les technologies numériques associées. Ces équipements sont en effet nécessaires à leur développement et à leur pérennité. Ces dernières années, les cyberattaques (ou attaques numériques) contre les entreprises sont devenues plus nombreuses et sophistiquées. Au point de menacer leur projet d’affaires et leur survie.
Des menaces multiples
Les menaces les plus courantes sont multiples : Phishing : technique d’hameçonnage par e-mail frauduleux visant à récupérer des données confidentielles. Ransomware : intrusion de logiciels malveillants bloquant l’accès aux données contre rançon. Exploitation des vulnérabilités non corrigées dans les logiciels des victimes. Attaque par déni de service, qui provoque une surcharge des serveurs et rend le site et les services inaccessibles. Attaque sur la supply chain, qui vise les fournisseurs, pour accéder aux systèmes cibles de l’entreprise. Espionnage industriel. Ingénierie sociale ciblée (deepfakes, arnaque au président…) : manipulation des employés pour les inciter à partager des informations confidentielles. Selon IBM, le coût moyen d’une cyberattaque pour une entreprise de taille moyenne était de 3,85 millions de dollars en 2024, en hausse de 3 % par rapport à 2023. Ces atteintes à la sécurité informatique représentent donc un défi majeur pour les entreprises, leurs activités, leurs fournisseurs et leurs clients.
« Le coût moyen d’une cyberattaque pour une entreprise de taille moyenne était de 3,85 millions de dollars en 2024. »
Les dommages causés sont financiers et opérationnels, et constituent un risque pour leur réputation et leur pérennité. Rendue publique ou non, une violation des données constitue un impact négatif durable sur l’image de la société. Et elle compromet la confiance de ses clients : 90 % d’entre eux perdent même cette confiance dans l’entreprise visée par un cyber-incident, selon le groupe Kaspersky spécialisé dans la sécurité des systèmes d’information. De même, les conséquences juridiques et réglementaires peuvent être lourdes, si l’entreprise n’a pas respecté les réglementations en vigueur : telles que la norme ISO 27001 (pour les systèmes de gestion de la sécurité de l’information), le RGPD (le règlement général sur la protection, le traitement et le transfert des données à caractère personnel des personnes physiques dans l’UE) ou encore MiCA (qui vise à prévenir les opérations d’initiés, la divulgation illicite d’informations privilégiées et les manipulations de marché).
Des sanctions administratives et pénales
« Une cyberattaque peut entraîner des poursuites judiciaires de la part des clients ou partenaires affectés, des amendes réglementaires en cas de violation des lois, une surveillance accrue des autorités de régulation et des obligations de mise en conformité plus strictes, » rappelle Capgemini. Pire, la non-conformité aux directives européennes et sectorielles en vigueur peut s’avérer dramatique pour l’entreprise et sa direction. Ainsi, le RGPD prévoit des sanctions administratives lourdes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le plus élevé des deux) pour les manquements graves. De plus, la violation du règlement européen sur les marchés des cryptoactifs (MiCA) expose les entreprises financières, notamment les prestataires de services sur les crypto-actifs, à de lourdes sanctions par les régulateurs. Sanctions administratives : jusqu’à 15 millions d’euros ou 15 % du chiffre d’affaires annuel total (pour les personnes morales).
Les sanctions peuvent être professionnelles : interdiction d’exercer (retrait d’agrément), suspension de l’activité, blocage des sites web, exclusion du marché. Les amendes peuvent aussi être pénales selon le pays : jusqu’à deux ans d’emprisonnement et 30 000 euros, pour les dirigeants en cas de manquements graves (exercice illégal de la profession de prestataire de services sur les crypto-actifs, fraude). Ces sanctions peuvent être rendues publiques. De même, pour la directive NIS2 (Network and Information Security), qui renforce les exigences en matière de cybersécurité et de résilience des systèmes d’information au sein de l’UE.
Elle concerne les entreprises de plus de 50 salariés actives dans des secteurs considérés comme essentiels ou critiques (énergie, transport, santé, finances, eau, agroalimentaire, services postaux, fournisseurs de messagerie, services publics, communications électroniques…). En cas de négligence grave, leurs dirigeants s’exposent à une interdiction temporaire d’exercer des fonctions de direction, avec des amendes administratives jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Les autorités peuvent rendre publiques les violations commises et désigner les personnes responsables, ce qui nuirait à la réputation de l’entreprise.
Photo de couverture : Unsplash
La suite de l’article est à découvrir dans les pages de Femmes Magazine édition d’avril 2026
Pour plus de business
