Secu

En 2021, une grande entreprise sur deux a subi au moins une cyber-attaque réussie.

Par Laurent Delattre, publié le 18 janvier 2022

Chaque année, le CESIN publie son Baromètre de la cyber-sécurité des entreprises. Et s’il faut retenir une chose de cette édition 2022, c’est que le voyage vers la cyber-résilience est toujours aussi ardu même si les entreprises se montrent désormais plus sensibilisées et mieux protégées.

Le baromètre du CESIN réalisé par OpinionWay est le résultat d’une grande enquête annuelle auprès des RSSI et Directeurs Cybersécurité qui cherche à mesurer la perception de la cyber-sécurité et de ses enjeux au sein des entreprises et la réalité concrète de leur sécurité informatique. Rappelons que le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) regroupe essentiellement des responsables sécurité de grandes entreprises, administrations et ETI.

Parmi les membres du CESIN, plus d’une entreprise sur deux (54%) déclare avoir subi entre une et trois cyber-attaques réussies au cours de l’année 2021, des attaques qui ont effectivement eu des répercussions flagrantes sur leurs business.

Le chiffre est élevé, mais il marque une baisse légère mais régulière depuis trois ans (65% en 2019, 57% en 2020). Et c’est, au final, plutôt une bonne nouvelle alors que, sur le terrain, l’ampleur, la technicité et la virulence des attaques ne cesse d’augmenter.

Cette baisse traduit peut être aussi les efforts croissants des entreprises : Les budgets alloués à la cybersécurité sont encore en hausse cette année. 70% des entreprises confirment cette tendance, contre 57% en 2020. Et 44% des entreprises consacrent plus de 5% du budget IT/Digital à la cybersécurité (une croissance de 29%). Elles sont 56% à vouloir allouer plus de ressources humaines à leur organisation. Et 7 entreprises sur 10 possèdent une cyberassurance.

Les vecteurs d’attaques

Le rapport s’intéresse notamment aux vecteurs qui ont conduit à ces attaques réussies. Sans surprise, le Phishing reste le principal vecteur d’attaques. C’est le moyen numéro un pour dérober des identifiants et démarrer une infiltration ou une attaque multi-phases. Ainsi, 73% des RSSI ont désigné ce vecteur en 2021 contre 80% en 2020. Une diminution qui, étonnamment traduit un succès relatif car il ne faut pas perdre de vue que les risques posés par de telles attaques se sont multipliés avec le confinement des collaborateurs, leur état de stress lié à la pandémie et l’augmentation du télétravail dans des conditions pas toujours optimales. Cette diminution laisse à penser que les efforts de sensibilisation des employés à la cybersécurité commencent à porter leurs fruits.

Exploitation des vulnérabilités, arnaques au président, tentatives de connexion frauduleuse, acquisitions de noms de domaines illégitimes et attaques DDoS (déni de service) arrivent sans surprise derrière le Phishing. Toutefois le Top 10 des vecteurs d’attaque 2021 présente une nouveauté sur laquelle il est utile de s’arrêter : Les « attaques indirectes par rebond via un prestataire » augmente de 5% pour atteindre les 21% ! Une progression qui reflète la réalité d’une année 2021 marquée par les attaques sur la Supply Chain logicielle avec les incidents SolarWinds et Log4J. Cela fait plusieurs années que l’ANSSI s’inquiète des faiblesses de la Supply Chain des grandes entreprises qui repose souvent sur des TPE et PME moins formées aux défis cyber. Mais si elles ont souvent cherché à se protéger des faiblesses de leurs prestataires, elles n’ont pas toujours mesuré l’importance des acteurs de leur Supply Chain logicielle.

Des conséquences variées mais impactantes

L’étude s’attache aussi à mesurer les conséquences de ces attaques. Les attaques par ransomware ont touché 1 entreprise sur 5 parmi les répondants. La déferlante 2020 s’est donc stabilisée en 2021 mais reste évidemment au cœur des préoccupations. Le ransomware conserve sa troisième position dans le classement des conséquences, devant les dénis de service, mais derrière l’usurpation d’identité qui bondit à 32% (contre 23% en 2020) et le vol de données.

Sensibilisée par les multiples affaires ransomwares en 2020 comme durant toute l’année 2021, les entreprises ont cherché des parades et à mieux se préparer.
Leurs efforts se sont d’abord concentrés sur la sensibilisation de leurs collaborateurs, sur le déploiement d’un EDR (qui progresse de 16% en un an), sur l’analyse régulière des vulnérabilités et sur le durcissement de l’Active Directory (une priorité qui progresse de 9% en un an). Par ailleurs on notera que 4 entreprises sur 10 ont eu recours à des programmes d’entraînement à la crise Cyber,  une nouvelle entrée dans le classement. Par ailleurs, 47% des entreprises ont en projet de mettre en place de tels entraînements.

Des entreprises qui ont globalement confiance dans leurs outils

Mais le plus surprenant eu égard aux échecs affichés, c’est que les RSSI conservent un haut niveau de satisfaction envers les solutions présentes sur le marché. En effet, 86% des répondants considèrent qu’elles sont plutôt adaptées à leurs besoins (dont 8% affirmant qu’elles le sont ‘tout à fait’).
En moyenne, les entreprises bâtissent leur cyber-résilience sur une dizaine de solutions. Outre les traditionnels VPN, filtrages d’URL et passerelle de sécurité email, on constate une forte adoption de l’authentification multifactorielle, une nette progression des EDR (+17% en un an) et une plus grande généralisation des solutions de chiffrement (en augmentation de 7).

Mais, il existe un écart de perception entre l’adoption d’une solution et la perception de son efficacité. Comparer les deux graphiques est d’ailleurs assez instructif en la matière :

Authentification MDA, systèmes EDR, VPN, passerelles email et passerelles Web sont considérées comme les solutions les plus efficaces. De façon beaucoup plus surprenante, alors que le Zero Trust est dans la bouche de tous les fournisseurs, les solutions de gestion des identités et des accès reculent de 4 points en 2021 et plafonnent à 18% alors que les solutions de PAM (Privilege Access Management) demeurent elles bien mieux perçues en matière d’efficacité. Les solutions DLP (Data Leak Prevention) sont également parmi les moins déployées et les moins jugées efficaces.

Et puisque nous parlons de Zero Trust, 30% seulement des entreprises ont déjà commencé ou ont mis en place une telle stratégie. Cependant, 41% des répondants affirment être en train d’étudier comment un tel modèle pourrait être mis en place dans leurs entreprises. Avec seulement 13% de répondants ayant commencé à le déployer, le SASE – Buzz Word du monde de la sécurité en 2021  – demeure encore perçu comme un concept d’abord marketing qui va devoir faire un peu plus ses preuves bien pour s’imposer.

Enfin, le rapport du CESIN s’intéresse également aux impacts du cloud et aux aspects de souveraineté et de confiance (6 RSSI sur 10 se disent préoccupés par les sujets de cloud de confiance). Les RSSI s’inquiètent de la maîtrise de la chaîne de sous-traitance de leurs hébergeurs et d’une mauvaise visibilité de leurs ressources Clouds (et la difficulté à en faire un inventaire). De plus, 8 RSSI sur 10 estiment que la sécurisation des données stockées dans le cloud requiert des outils spécifiques, et dans la plupart des cas (63%) qu’il est nécessaire d’utiliser d’autres dispositifs que ceux proposés par le fournisseur de cloud.


Source : Baromètre de la cybersécurité des entreprises – OpinionWay / Cesin – Vague 7 – Janvier 2022

 

 

Dans l'actualité