Gérer les risques
Aujourd'hui et demain

Cyberprévention

Le Cesin livre ses derniers enseignements sur la cybersécurité

Selon le dernier Baromètre de la cybersécurité, publié par le Cesin et Opinionway, 54 % des entreprises ont subi 1 à 3 attaques réussies. Si elles se protègent mieux, leurs efforts de sensibilisation auprès des collaborateurs semblent s’émousser. Quant aux cyberassurances, leurs tarifs augmentent tandis que leur couverture se réduit.

Attendu avec impatience, comme chaque année depuis 2015, le Club des experts de la sécurité de l’information et du numérique (Cesin) et Opinionway viennent de livrer la septième édition de Baromètre de la cybersécurité. Une référence incontournable ! Du 24 novembre au 21 décembre, cette nouvelle enquête a interrogé 282 directeurs de la cybersécurité ou responsables de la sécurité des systèmes d’information (RSSI) membres du Cesin au travers d’un questionnaire en ligne CAWI (Computer Assisted Web Interview). Objectif : mieux cerner l’état de l’art et la perception de la cybersécurité ainsi que ses enjeux au sein des entreprises françaises.

1 à 3 attaques réussies chez 54 % des entreprises

Parmi les principaux enseignements, il ressort que 54 % des entreprises déclarent avoir subi entre une et trois cyberattaques réussies au cours de l’année. Soit une légère baisse par rapport aux vagues précédentes (57 % en 2020 et 65 % en 2019). Ce qui montre que, dans une certaine mesure, les dispositifs progressivement mis en place ont quelque peu porté leurs fruits. En revanche, l’ampleur et la virulence des attaques ne cessent d’augmenter. En effet, 6 entreprises sur 10 ont connu un impact sur leur activité : perturbations de la production (21 %), compromission d’information (14 %) … À cet égard, le Phishing reste le vecteur d’attaque le plus fréquent. 73 % des entreprises le déclarent comme vecteur d’entrée principal pour les attaques subies, devant l’exploitation des failles (53 %) ou l’attaque par rebond via un prestataire (21 %). Ce dernier axe s’est illustré ces derniers mois par des incidents retentissants comme le piratage de SolarWinds ou encore Log4J, la faille d’Apache. Les attaques par ransomware ont touché 18 % des répondants, un résultat stable par rapport à 2020 (19 %).

plus-d-une-entreprise-sur-deux-considere-que-le-niveau-de-menaces-en-matiere-de-cyberespionnage-est-eleve.

Plus d’une entreprise sur deux considère que le niveau de menaces en matière de cyberespionnage est élevé. © Jefferson Santos

Des efforts de sensibilisation qui s’émoussent

Le télétravail induit par le confinement qu’a imposé la crise sanitaire a conduit les entreprises à revoir leurs dispositifs de sécurité. Ainsi 4 entreprises sur 10 ont-elles recours à des programmes d’entraînement à la crise cyber ou déclarent en former le projet (47 %). Par ailleurs, 70 % d’entre elles (+16 %) ont sensibilisé plus fortement leurs collaborateurs. Elles sont aussi 7 sur 10 à s’estimer préparées en termes de prévention et de moyens de détection. Pourtant, à peine 54 % d’entre elles se disent prêtes à répondre à une attaque et seulement 41 % avouent être capables de se reconstruire après. Résultat, 82 % des collaborateurs se déclarent mieux sensibilisés dont 24 % tout à fait sensibilisés (+11 %). De même, ils respectent mieux les recommandations (70%) mais peinent à être proactifs et à prendre des précautions par eux-mêmes. Cependant, plus l’entreprise est protégée, plus l’attention se relâche. Ainsi le recours massif aux services cloud non approuvés est-il perçu comme un risque élevé chez les salariés de 3/4 des entreprises contre 84 % en 2020. Dans la foulée, les risques liés au télétravail sont jugés en 2021 moins prégnants (29 %) qu’en 2020 (41 %).

Des protections plus fortes

Côté outils de protection, 85 % des entreprises trouvent que les solutions présentes sur le marché sont adaptées à leurs besoins. D’ailleurs, le nombre moyen de projets a augmenté de 10 % en un an. Les réseaux privés virtuels (VPN) viennent en tête à 91 %, suivis des proxy à 81 %, puis des EDR (système de protection des terminaux) à 68 % en hausse de 17 % et des systèmes de chiffrement à 56 % (+7 %). Qui plus est, 63 % des entreprises interrogées ont généralisé le recours à l’authentification multi-facteurs (MFA).

Des spécificités liées au cloud

Avec l’adoption massive du cloud, les RSSI doivent faire face à des dizaines de sujets qu’ils n’avaient pas à traiter avec des solutions sur site. Les principaux facteurs de risques concernent la difficulté à maîtriser la chaîne de sous-traitance de l’hébergeur pour 48 % des répondants et à contrôler les accès (43 %). En outre, 40 % invoquent des risques liés à la rareté de l’expertise parmi les architectes et les administrateurs ainsi qu’une mauvaise visibilité de l’inventaire des ressources dans le cloud pour 38 %. De fait, 8 RSSI sur 10 estiment encore que la sécurisation des données stockées dans le cloud requiert des outils spécifiques. Dans 63 % des cas, il est nécessaire d’utiliser d’autres dispositifs que ceux proposés par le fournisseur de cloud. Par ailleurs, 6 entreprises sur 10 se disent préoccupées par les sujets de souveraineté et de cloud de confiance. Ce qui suppose une attente forte concernant les perspectives potentielles de rééquilibrage des forces avec le développement des solutions dites de confiance annoncées en France et en Europe.

Cyberespionnage : un risque élevé pour 55 % des entreprises

La question du cyberespionnage a été abordée pour la première fois lors du précédent baromètre. Plus d’une entreprise sur deux considère que le niveau de menaces en matière de cyberespionnage est élevé (55 %). Un score édifiant qui corrobore de nombreux rapports et les observations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Cette menace croissante demande une vigilance accrue car elle devrait encore s’intensifier.

Cyberassurances : plus chères et moins performantes

69 % des répondants affirment avoir souscrit une cyberassurance. Après plusieurs années d’engouement, les premiers bilans révèlent un moindre taux de satisfaction pour ceux qui en ont eu recours. D’autre part, la majorité des entreprises ont un avis négatif sur l’usage des services d’agences de notation liées à ces assurances. Lors de récentes réunions des membres du Cesin, nombre d’entreprises se sont déclarées hésitantes devant l’idée de renouveler leur contrat. Ce qui pose question sur l’avenir de ce marché. Le Cesin note globalement une hausse exponentielle des tarifs, pour une baisse des couvertures alors que les niveaux d’exigences de la part des assureurs sont quasiment inatteignables.

Des budgets en hausse

Les budgets alloués à la cybersécurité sont encore en hausse cette année. 70 % des entreprises confirment cette tendance, contre 57 % en 2020. Elles sont 56 % à vouloir allouer plus de ressources humaines à leur organisation. 84 % vont acquérir de nouvelles solutions techniques, tandis que 62 % s’équipent avec les offres innovantes issues de startups. En parallèle, la prise en compte des enjeux de cybersécurité par la direction de leur entreprise progresse : 79 % des répondants sont confiants sur l’engagement de leur comité exécutif.

Erick Haehnsen

Commentez

Participez à la discussion