Cybersécurité : Le Baromètre du CESIN témoigne d’une année 2023 compliquée

Le nouveau baromètre du CESIN confirme le sentiment général d’une année 2023 très sombre en matière de cybersécurité. Il révèle bien peu de bonnes nouvelles et montre une évolution du paysage des menaces.

C’est en 2015 que le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) a publié son premier baromètre de la cybersécurité réalisé avec OpinionWay auprès de ses membres. Il se démarque par son approche qui ne cherche pas à évaluer les menaces subies dans leur ensemble mais qui se focalise sur les seules cyber-attaques réussies, autrement dit les attaques qui ont déjoué les dépenses et engendré un impact sur le fonctionnement du SI et de l’entreprise.

La publication de la 9^ème édition qui récapitule 2023 dresse un panorama au final assez sombre. On le savait, 2023 a été ressentie comme une année noire par la plupart des DSI et RSSI. Les résultats sont alignés avec ce ressenti.

Le succès est du côté des cyberattaquants

Après deux ans de baisse du nombre d’attaques réussies, le compteur repart à la hausse : 49% des entreprises ont constaté au moins une cyber-attaque réussie en 2023 contre leurs infrastructures. C’est plus que les 45% de l’an passé. Et ce n’est pas vraiment rassurant de constater que seulement 1% des entreprises interviewées ont enregistré plus de 15 attaques réussies (contre 4% en 2022). D’autant qu’au final, 23% des organisations ont constaté une augmentation des cyber-attaques réussies en 2023.

Sans surprise le Phishing est de loin la cyberattaque réussie la plus fréquente : elle est signalée par 60% des organisations participantes.
Elle arrive devant la sempiternelle « Exploitation de Faille » à 43% et « Attaque par déni de service (DDoS) » à 34%. Ces attaques DDoS progressent d’ailleurs de 11% en un an, un chiffre qui illustre les annonces de l’été dernier des grands clouds qui avaient tous subi des attaques DDoS records.

Toutes ces attaques – qui, rappelons-le, sont ici des attaques réussies – entraînent bien sûr des conséquences en relation. Ainsi elles ont principalement mené à des vols de données (l’histoire ne précise pas si tous ces vols ont été déclarés à la CNIL) pour 31% des entreprises, à de l’interruption de services (30%), de l’usurpation d’identité (30%), de l’exposition de données (29%) et du chiffrement de données par ransomware (18%). On notera d’ailleurs que les attaques par ransomware réussies se sont stabilisées en 2023 et ont touché environ 10% des membres du CESIN.

Autre donnée intéressante, celle des causes. En 2022, « les négligences et erreurs de configuration » avaient figuré en tête du palmarès juste devant « les vulnérabilités résiduelles » (autrement dit les choses non patchées ou victimes de Zero Day). Le palmarès 2023 se révèle très différent puisque les cyberattaques opportunistes arrivent en tête devant le Shadow IT (utilisation d’applications et services non approuvés par la DSI).

Et pourtant la confiance règne

Du côté des bonnes nouvelles, les membres du CESIN confirme leur confiance envers les solutions et services de cybersécurité du marché : 87% les trouvent plutôt ou tout à fait adaptés à leurs besoins. L’enquête 2023 confirme cependant que les entreprises continuent d’assembler des briques et disposent en moyenne de plus de 15 solutions de cybersécurité.

Parmi ces applications et services, 2 ont vraiment le vent en poupe : Les authentifications MFA et les solutions EDR/XDR !

Enfin dernière bonne nouvelle, la part d’entreprises ayant mis en place un programme d’entraînement à la cyber-crise est orientée à la hausse. On le sait, il ne peut y avoir de cyber-résilience sans une véritable politique de sensibilisation des employés avec des exercices réguliers. Reste que seulement 57% des entreprises membres du CESIN ont vraiment mis en place un programme d’entraînement à la cyber-crise.

Parmi les autres chiffres marquants de cette édition 2023 du baromètre du CESIN, on retiendra que :

>> 7 entreprises sur 10 ont aujourd’hui souscrit à une cyber-assurance et un quart d’entre elles l’ont déjà utilisé dans le cadre d’une cyberattaque.

>> 7 entreprises sur 10 se disent désormais impactées par au moins une des réglementations Cyber (NIS2, DORA, Cyberscore…)

>> 53% des entreprises prévoient d’augmenter les effectifs alloués à la protection contre les cyber-risques.

>> 62% des entreprises se montrent raisonnablement confiantes dans leur capacité à faire face aux cyberattaques.

>> 45% des entreprises ont consacré plus de 5% de leur budget IT à la cybersécurité.

Au final, ce neuvième baromètre inquiète plus qu’il ne rassure. Bien qu’il ne présage en rien d’une situation plus compliquée encore en 2024, il interroge néanmoins sur les contradictions qui apparaissent entre des RSSI qui se montrent assez confiants dans la cyber-résilience de leur entreprise et l’efficacité des outils qu’ils utilisent malgré une augmentation des attaques réussies et des budgets cyber-sécurité qui n’évoluent pas significativement à la hausse. Il est trop tôt pour en tirer des conclusions, mais ces contradictions, si elles se confirment, pourraient présager d’une année 2024 encore plus noire… Un RSSI averti en vaut deux…

À LIRE AUSSI :

Secu

Le CESIN alerte DSI et RSSI sur le cyber-rating

La rédaction

21 Juin

À LIRE AUSSI :

Secu

Stress dans l’IT : Des RSSI toujours sous pression

Laurent Delattre

30 Nov

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !