Myst - stock.adobe.com

Combien de PME mettent la clé sous la porte après une cyberattaque ?

Pour certains, 60 % déposent le bilan 18 mois après l’attaque. Pour d’autres, ça va plus vite : 6 mois. D’autres encore auraient parlé, un temps, de 70 % sous 3 ans. Enquête sur des chiffres plus que douteux.

« Entre 50 et 60 % des PME ayant été victimes de cyberattaques mettent la clé sous la porte dans les dix-huit mois qui suivent », estimait Gérard Vallet, fin mars 2023. Le directeur régional Grand Est d’Orange Cyberdefense répondait alors à nos confrères de L’Alsace.

Mi-octobre 2023, David Glijer, directeur de la transformation digitale d’ArcelorMittal, l’assurait : « 60 % des PME-TPE qui ont subi une attaque cyber déposent le bilan six mois après ». Une affirmation déjà entendue… à l’automne 2022. Et jusque dans la bouche de Jean-Noël Barrot, alors ministre délégué chargé de la Transition numérique et des Télécommunications lors de l’European Cyber Week à Rennes, cette même année, comme le rapportaient alors nos confrères des Echos.

En juin 2024, Charlotte Couallier, PDG et co-fondatrice de Dattak, dit peu ou prou la même chose : « 50 % des PME font faillite à la suite d’une cyberattaque ». Et de se justifier en invoquant les propos du ministre : « nous estimons pouvoir sereinement nous appuyer sur les déclarations officielles des pouvoirs publics ».

Mais est-ce bien justifié ? Ces chiffres sont-ils fiables ? Loin de là.

Plusieurs sites Web font référence à la CCI Occitanie qui aurait, en 2016, « révélé que 60 % des PME/PMI impactées par les cyberattaques mettaient la clé sous la porte à court terme ». Ces révélations sont toutefois aujourd’hui introuvables sur le site de l’intéressé. 

Mais on trouve une référence anglophone de janvier 2019, largement reprise. Dans Cybercrime Magazine, Robert Johnson III, patron de Cimcor, Inc., assure alors que « en fait, 60 % des petites entreprises cessent leurs activités dans les six mois qui suivent une violation de données ou une cyberattaque ». Il se réfère à un site Web qui n’existe plus depuis début 2021.

Reste que cette allégation se retrouve dans un rapport d’information sénatorial de juin 2021… cité dans le rapport Mission PME et Cybersécurité du Campus cyber remis le 31 octobre 2023 à Jean-Noël Barrot. Entre-temps, la précision selon laquelle la statistique vaut pour les États-Unis aura disparu. 

En mars 2023, Capital traite ce chiffre avec prudence : « on cite souvent le chiffre de 60 % de PME qui succomberaient à ce genre d’attaque ! Difficile à vérifier, il n’existe aucune statistique fiable sur ce risque létal dans notre pays ». Et cela semble tout à fait justifié. Car si cette statistique est déjà mentionnée dans le Denver Post, à l’automne 2016, elle apparaît encore plus ancienne et nébuleuse.

Une première statistique fantôme…

Début mai 2022, la National Cybersecurity Alliance (NCSA), à laquelle est régulièrement attribuée cette statistique, se sent obligée de prendre ses distances par rapport à elle et publie une déclaration sans ambiguïté sur quelque chose qui apparaît dater de… 2011 ! 

« La National Cyber Security Alliance (NCSA) a remarqué une augmentation du partage et de l’utilisation de cette statistique tierce de 2011 : “60 % des entreprises ferment dans les six mois suivant une cyberattaque” », indique la NCSA dans sa déclaration. 

Et d’ajouter : « cette statistique n’a pas été générée par les recherches du NCSA et nous ne pouvons pas vérifier sa source originale. Le NCSA n’a pas référencé activement cette statistique depuis plusieurs années, mais nous avons découvert qu’elle était incluse dans une infographie périmée sur notre site Web. Nous avons supprimé toutes ces références et ne recommandons pas de continuer à l’utiliser. Les membres des médias, les décideurs politiques, les petites entreprises et autres sont encouragés à s’appuyer sur des données plus récentes et plus clairement sourcées ».

Mais, surprise : la source mentionnée par le rapport d’information sénatoriale de juin 2021, « 30 Surprising Small Business Cyber Security Statistics » par Maddie Shepherd, de Fundera, toujours en ligne et mise à jour en janvier 2023, impute sa statistique… au NCSA. 

… et une seconde

Du côté d’Orange, une publication d’avril 2022 évoque une autre statistique : « 70 % des PME victimes d’une attaque informatique déposent le bilan dans les trois ans ». Ce chiffre a été largement repris, notamment dans le monde de l’assurance cyber, jusque sur le site du Crédit Agricole.

Là, c’est une étude IFOP qui est mentionnée comme référence. Faute de lien, une recherche permet de débusquer ladite étude, conduite pour Kaspersky et Euler-Hermes, réalisée début novembre 2018 auprès d’un panel de 702 décideurs de PME en France. 

Or, surprise : cette statistique sur les dépôts de bilan ne figure ni chez Kaspersky ni chez Euler-Hermes (Allianz). Une absence d’autant plus remarquable qu’il est difficile d’imaginer les services marketing de l’un et de l’autre passer à côté de données aussi marquantes pour les esprits. Compte tenu de la nature du sondage.

Ces statistiques font régulièrement débat, et manifestement à juste titre. Plusieurs sources nous assurent que rien, que ce soit du côté de clubs d’entreprises ou de tribunaux du commerce, ne permet de les confirmer, bien au contraire. 

Accessoirement, avec des coûts tels que ceux sortis du sondage Ifop de fin 2018, il apparaît difficile d’imaginer qu’une cyberattaque force effectivement une entreprise à mettre la clé sous la porte : « la plupart du temps, le coût de ces attaques ne dépasse pas les 10 000 € (64 %), bien qu’il soit parfois beaucoup plus élevé. 14 % des répondants admettent que les attaques leur ont coûté plus de 51 000 €, et même plus de 100 000 € pour 6 % d’entre eux ». 

Non supportées par les faits

Toutefois, il apparaît clair qu’une cyberattaque sans grande ampleur puisse porter un coup fatal à une entreprise déjà en difficulté. Et justement, cela s’est vu en France à quelques reprises. 

En 2017, André Thomas, dirigeant de Clermont Pièces, faisait état d’une cyberattaque le 11 septembre. Dans les colonnes de La Montage, on pouvait lire dix jours plus tard : « huit employés et les dirigeants de Clermont Pièces vont se retrouver dans les prochains jours sans travail. Non pas en raison de difficultés économiques, mais à cause d’un logiciel informatique malveillant ».

En fait, l’entreprise s’était déclarée en cessation des paiements le 11 août 2017. Le 7 septembre suivant, le tribunal de commerce de Clermont-Ferrand décidait l’ouverture d’une procédure de redressement judiciaire. 

Clestra, victime d’une cyberattaque fin avril 2022 ? Nos confrères de France Bleu indiquaient fin septembre : « dans un communiqué de presse, on peut lire que l’entreprise fait face à des difficultés financières depuis 10 ans, des difficultés renforcées par les effets de la crise sanitaire et de l’inflation ».

Fin 2019, le fabricant de lingerie Lise Charmel a été victime d’une cyberattaque. L’entreprise a été, par la suite, placée en redressement judiciaire. Mais elle s’est relevée.

Placé en liquidation judiciaire fin septembre 2022 et victime d’une cyberattaque un an plus tôt, Camaïeu n’a pas eu cette chance, mais l’entreprise était loin d’être en parfaite santé. En fait, elle sortait d’une période qui l’avait déjà fortement affaiblie.

Un risque néanmoins réel

D’autres chiffres sont toutefois disponibles, avec leurs sources. FranceNum en cite un : « une analyse Bessé/G.P. Goldstein sur 48 incidents cyber sur des entreprises françaises non cotées entre 2017 et 2021 montre un résultat fort et fondamental : le risque de défaillance de l’entreprise augmente d’environ 50 % dans les 6 mois qui suivent l’annonce de l’incident ».

L’étude correspondante a été publiée à l’automne 2022. Une autre l’avait précédée deux ans plus tôt. Celle-ci s’appuyait sur l’examen de 30 incidents entre 2017 et 2019, « répartis à parts égales en France et à l’étranger » et « avec des tailles variant de la PME à la grosse ETI ».

Dans cette édition 2020, on pouvait lire que « l’étude s’est tournée vers les informations de type Altarès/Dun & Bradstreet sur les scores de défaillance et paydex (jours de retard de paiement) ». Là, l’étude véhiculait diverses conclusions avec, page 20 : « la cyberattaque peut entraîner une augmentation 40 % du risque de défaillance dans les 6 mois qui suivent l’attaque ». 

Page 13, pour les entreprises françaises, l’étude mettait en avant une augmentation de 80 % du risque de défaillance dans les trois mois après l’annonce d’un évènement cyber, avec une probabilité de défaillance passant de 0,90 % à 1,59 % à 3 mois.

Bessé mettait cette augmentation du risque de défaillance sur le dos de l’atteinte à la réputation. L’étude 2022 est très affirmative sur ce point : « le facteur moteur de la dégradation économique semble être une crise de réputation et de confiance dans l’entreprise ».

La faute à la révélation de l’incident ? Les auteurs suggèrent plutôt une communication défaillante. Car selon eux, « la cyber résilience s’appuie sur 2 jambes, les moyens techniques et la communication ».

Article publié initialement le 20 novembre 2023, mis à jour le 29 février 2024, puis le 19 juin 2024..

Pour approfondir sur Menaces, Ransomwares, DDoS