La cyber-sécurité constitue un enjeu majeur pour les entreprises qui doivent mettre en place des actions pour se protéger. Certes, mais comment les plus grandes entreprises françaises s'emparent-elles du sujet et comment cela se reflète-t-il dans leurs rapports annuels ? Le cabinet conseil Solucom a analysé les rapports annuels des entreprises du CAC 40, contraintes depuis 2009 par l’Autorité des marchés financiers d’y préciser les facteurs risques.
Le cabinet Solucom a mesuré le niveau de prise en compte des risques SI en réalisant une étude comparative des rapports annuels des entreprises du CAC40 sur les années 2010 (première année où l'obligation a été prise en compte) et 2013 (rapports les plus récents). L'étude a été réalisée en se basant sur les rapports et documents de référence disponibles au 15 mai 2014. Elle a permis d'identifier le niveau de prise en compte des enjeux de cyber-sécurité par ces entreprises et les actions mises en place pour se protéger.
Motus et bouche cousue sur les incidents
L'analyse des rapports montre une prise en compte forte des enjeux de cyber-sécurité par les entreprises dès l'année 2010, avec une augmentation en 2013 : en 2013, 95 % des entreprises mentionnent une stratégie SSI (sécurité des systèmes d'information) contre 73 % en 2010. Le terme « cyber » en lui-même apparait dans plus de 50 % des rapports annuels. La prise en compte des problématiques de cyber-sécurité en France est donc quasi unanime.
La part des entreprises ayant initié des actions pour faire face aux risques SSI est également croissante : elle est passée de 45 % en 2010 à 78 % en 2013.
Malgré cette prise en compte de plus en plus croissante, les entreprises sont encore peu loquaces dès lors qu'il s'agit de mentionner les incidents cyber dont elles ont pu être victimes. Deux entreprises uniquement le précisent, alors qu'elles sont beaucoup plus nombreuses (publiquement ou non). Ce sujet est encore tabou, mais l'évolution du cadre réglementaire à venir dans les prochaines années devrait changer la donne.
Le cyber-espionnage inquiète
Ces rapports mettent en lumière les sujets clés pour les entreprises aujourd'hui. Beaucoup mentionnent la nécessité de l'ouverture de leurs systèmes d'information, de la protection des données personnelles et les évolutions organisationnelles et technologiques que cela pourrait entraîner. Les impacts du Big Data, du Cloud Computing ou du BYOD sont cités dans plus de la moitié des rapports.
Les entreprises précisent également les menaces auxquelles elles doivent faire face. Une trace du passé subsiste car encore beaucoup de rapports mentionnent les virus. Mais pour la majorité des entreprises, l'espionnage industriel et l'évolution de la cybercriminalité apparaissent comme des craintes fortes : ces deux tendances sont présentées comme des menaces pesant sur l'entreprise. À noter, le réalisme de plusieurs acteurs qui indiquent subir ou pouvoir subir des pertes dues à ces menaces, malgré les efforts de protection et la prise en compte de ces risques. Le message semble s'être bien diffusé : l'invulnérabilité n'existe pas en matière de cybercriminalité. Cette prise en compte se manifeste également par la mention de normes, standards internationaux ou recommandations faites par des acteurs comme l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) ou l'Organisation Internationale de Normalisation (ISO), même si seules cinq entreprises mentionnent utiliser ces normes. Ce chiffre peut paraître faible par rapport à la réalité observée sur le terrain. Le sujet de la sécurité des SI industriels reste le parent pauvre des rapports. Alors qu'il concerne une majorité des entreprises du CAC 40, seules trois le mentionnent dans leur rapport.
Il est également intéressant de relever que la nature de la cible des rapports annuels (actionnaires, investisseurs) modifie la nature des messages. Plus que de projets techniques de sécurisation, les entreprises parlent de gouvernance sécurité et de contrôle interne. Le niveau de prise en compte est également très variable dans le vocabulaire utilisé et la précision des termes employés. Il doit cependant être relativisé considérant le degré d'implication des fonctions sécurité dans la rédaction des rapports… et la sensibilisation encore jeune des fonctions communication et financière responsables de ces documents aux problématiques sécurité. Les informations communiquées et le niveau de détails des programmes mis en œuvre sont également très variables : de quelques lignes mentionnant le risque … à des extraits des méthodologies utilisées.
Quelles évolutions attendre dans les rapports de 2014 ?
Plus personne ne nie aujourd'hui l'enjeu cyber-sécurité. Les entreprises semblent ainsi de plus en plus conscientes des impacts potentiels et agissent afin de se protéger. Des efforts de transparence sont cependant encore à réaliser, particulièrement concernant la notification des incidents et leur mention.
La prise en compte de la cyber-sécurité devrait encore connaître une augmentation forte entre 2013 et 2014, du fait de la succession des incidents mais aussi de la promulgation de la Loi de Programmation Militaire, qui entraîneront mécaniquement des actions dans les entreprises concernées (notamment les Opérateurs d'Importance Vitale).
