C’est en analysant les pratiques de ses clients que Wavestone, une société de conseil en cybersécurité, arrive à ce chiffre inquiétant.
Si les grandes entreprises et organisations progressent, avec des budgets dédiés à la cyber qui augmentent, le niveau global de maturité est insuffisant (un score relatif aux exigences des normes internationales NIST CSF Framework & ISO 27001/2 de 46 %) puisqu’ inférieur à la moyenne. La part dédiée à la cybersécurité sur le budget informatique est de 6,1 % en moyenne.
Services et public en retard
Le secteur des services (42,5 %) et l’administration (36,9 %) sont les moins bien préparés aux cyberattaques. Ceux de la finance et de l’énergie le sont, eux, mieux (respectivement 54,4 % et 51,8 %). « Avec un score de 44,8 %, le secteur industriel est globalement en retard et en position inconfortable alors qu’il mène sa transformation numérique« , relève l’étude. Des écart de maturité que l’on retrouve également dans le nombre de resources humaines spécialisées : 1 employé cyber pour 300 dans la finance par exemple, contre 1 pour 2 274 dans le secteur public.
Une situation à risque pour 30 % des organisations
Face aux risques d’une attaque par ransomware, 30 % des organisations sont dans une situation à risque, s’inquiète le cabinet de conseil. La sécurité des données, des applications, du Cloud et des systèmes industriels restent les points faibles. Dans le secteur de l’industrie, la plus grande problématique reste la sécurité des systèmes d’information industriels (35 % de maturité). Des systèmes historiques ont été conçus sans sécurité par défaut et s’ouvrent désormais du fait de la transformation numérique. De premiers efforts ont été fait pour mettre en place une gouvernance (50 %) et des travaux d’isolation ont commencé (66 %) mais sont souvent difficiles à mener jusqu’au bout. De plus ces périmètres sont aujourd’hui très peu surveillés (22 %).
Le cabinet de conseil Wavestone a réalisé un benchmark détaillé et basé sur une évaluation terrain de plus de 180 mesures de sécurité. Depuis 3 ans, les données de plus de 75 organisations, représentant plus de 3 millions d’utilisateurs, ont été consolidées et analysées. L’échantillon date du 1er mars 2021
