À l’occasion du FIC 2020, le CESIN dévoile les résultats de sa cinquième enquête sur la perception et la réalité concrète de la cybersécurité dans les grandes entreprises.

Cherchant à cerner l’état de l’art et la perception de la cybersécurité et de ses enjeux au sein des grandes entreprises françaises, le CESIN, Club des Experts de la Sécurité de l’Information et du Numérique, réalise chaque année depuis 5 ans une grande étude avec OpinionWay.

Pour cette cinquième édition, l’enquête confirme que le Phishing reste le vecteur d’attaque le plus fréquent : 79% des entreprises en ont été victimes, l’arnaque au Président – ou BEC Business Email Compromised – touchant encore 47% d’entre elles.

Le Phishing est suivi par l’exploitation des vulnérabilités (43%) ou l’ingénierie sociale (35%) sur le podium des principaux vecteurs d’attaque.

Ces cyberattaques ont pour conséquences principales l’usurpation d’identité (35%), l’infection par un malware (34%), le vol de données personnelles (26%) et l’infection par ransomware (25%) !

Il y a du mieux

Sur le papier tout au moins, les grandes entreprises suivies par le CESIN semblent pourtant prendre toujours plus en considération les problématiques de cybersécurité et de cyber-résilience. 91% d’entre elles mettent en place un programme de cyber-résilience ou envisagent de le faire, soit une augmentation notable de 12% en un an.

En parallèle, 60% des entreprises ont souscrit à une cyber-assurance et 13% sont en cours de souscription, des chiffres une hausse constante ces trois dernières années. Ils traduisent une prise de conscience des cyber-risques aux échelons les plus élevés de l’entreprise mais pas nécessairement une volonté de changer de culture et d’adopter partout les bonnes pratiques. Une cyber-assurance ne protège pas des attaques.

Heureusement, bien des entreprises semblent en avoir pris conscience même si elles se tournent encore trop vers les solutions techniques dans l’espoir de compenser le manque de formations et le changement de culture indispensable. Parmi les outils de protection mis en place dans les entreprises, l’enquête révèle une hausse notable de 13% des solutions d’authentification multi-facteurs (adoptées par 72% des entreprises) et des EDR adopter par 34% des entreprises (soit une augmentation de 14% en un an).

Un changement de culture long à imposer

Malgré tout, les entreprises françaises continuent d’afficher une certaine défiance dans l’approche Zero Trust assez révélatrice de l’absence de changement de culture. Même si 30 % des RSSI interrogés déclarent étudier la manière dont le modèle va se traduire, seulement 16 % des entreprises sont réellement engagées ou commencent à mettre en œuvre ce concept. Les offres innovantes issues de start-up sont adoptées par 42% du panel, pour les 58% qui n’y recourent pas le manque de maturité et la pérennité sont en question.

Ne voulant pas se montrer pessimiste, le CESIN met en avant un chiffre positif. Le taux d’entreprises déclarant des cyber-attaques est en baisse : 65%, contre 80% en 2019. Mais ce chiffre traduit-il une baisse des attaques, le résultat de meilleures défenses proactives ou simplement le retour à une forme d’omerta bien française ? Difficile à dire. D’autant que parallèlement 57% des entreprises constatent des conséquences plus importantes sur le business. Ces dernières se traduisent principalement par un impact direct sur la production, 9% indiquant même une perte du chiffre d’affaires résultant de ces attaques.

Des innovations sources de préoccupation

Par ailleurs, l’étude du CESIN revient sur les risques accrus engendrés par le cloud, l’IoT et même l’IA.

Le Cloud est bien évidemment pointé du doigt alors que 89% des entreprises du CESIN y ont recours, 55% d’entre elles stockant une partie de leurs données dans des clouds publics. Parmi les risques mis en avant : la non-maîtrise de la chaîne de sous-traitance de l’hébergeur (pour 50% des RSSI), la difficulté de mener des audits (pour 46% des RSSI), et la non-maîtrise de l’utilisation du cloud par les salariés (pour 46% des RSSI).
Pour pallier ce manque de sécurité, 91% des entreprises estiment que des outils et/ou dispositifs spécifiques doivent être mis en place.
Dans un même ordre d’idées, le Shadow IT est mentionné par 98% des répondants
comme étant une menace à traiter. L’usage des applications SaaS s’est banalisé dans les métiers et même au niveau individuel chez les collaborateurs, échappant toujours au contrôle de la DSI. Pour les RSSI, cela accroît significativement les risques notamment de fuites de données.

L’IoT est aussi une préoccupation croissante. Ils augmentent la surface d’attaque et engendrent de nouvelles typologies de menaces. 43% des RSSI interrogés s’inquiètent des failles de sécurité présentes dans ces équipements et 28% redoutent le flou dans lequel ils se sentent pour apprécier les risques potentiels.

L’étude montre également que l’IA embarquée au cœur de la plupart des solutions de cybersécurité doit encore faire ses preuves. 47% des RSSI ne lui font pas confiance.

Les entreprises françaises se donnent enfin les moyens de se défendre

Tout ceci explique probablement pourquoi la confiance des RSSI quant à la capacité de leur entreprise à faire face aux cyber-risques n’a pas progressé en un an. Seuls 52% des RSSI se disent confiants et 4 entreprises sur 10 se disent préparées en cas de cyber-attaque de grande ampleur.

Pour 50% des RSSI, l’augmentation du budget est un enjeu majeur. Toutefois, en la matière, les nouvelles sont plutôt rassurantes. La part du budget IT consacré à la sécurité augmente et devrait continuer d’augmenter puisque 62% des entreprises indiquent vouloir allouer plus de ressources à la cybersécurité et 83% souhaitent acquérir de nouvelles solutions techniques.

L’autre enjeu majeur, c’est le renforcement des équipes et l’acquisition de nouveaux talents spécialisés dans la cybersécurité. La moitié des RSSI souhaitent augmenter ses effectifs de cybersécurité, mais 90% se heurtent à la pénurie de profils en SSI, en particulier pour les métiers de pilotage, d’organisation et de gestion des risques (34%), suivis par les profils liés au support et à la gestion des incidents.

Enfin, selon le rapport du CESIN, les efforts doivent aussi se focaliser sur la gouvernance (pour 70% des RSSI) et sur la formation et la sensibilisation des usagers (pour 57% des RSSI).

Pour plus de détails, la 5ème édition annuelle du baromètre du CESIN est disponible en téléchargement.