Le phishing reste le vecteur d’attaque le plus fréquent, selon les RSSI des grands groupes français qui ont été interrogés par Opinionway pour le Club des Experts de la Sécurité de l’Information et du Numérique*.
79 % des entreprises en ont été victimes. « L’arnaque au Président » touche encore 47 % d’entre elles, suivi par l’exploitation des vulnérabilités (43 %) ou l’ingénierie sociale (35 %). Ces attaques ont pour conséquences principales l’usurpation d’identité (35 %), l’infection par un malware (34 %), le vol de données personnelles (26 %) et l’infection par ransomware (25 %).
Programme de cyber-résilience et cyber-assurance
91 % des entreprises mettent en place un programme de cyber-résilience ou envisagent de le faire. Une tendance forte qui se confirme avec 12 points de plus que l’an passé. En parallèle, 60 % des entreprises ont souscrit à une cyber-assurance et 13 % sont en cours de souscription, une hausse constante ces trois dernières années.
Le taux d’entreprises déclarant des cyberattaques est en baisse : 65 %, contre 80 % en 2019. En revanche 57% d’entre elles constatent des conséquences importantes sur le business. Ces dernières se traduisent principalement par un impact direct sur la production, 9% indiquent une perte du chiffre d’affaires.
Cloud, IoT et IA : des risques accrus avec la transformation numérique
Le recours massif au Cloud, utilisé par 89 % des entreprises, dont 55% stockent une partie de leurs données dans des Clouds publics, est noté parmi les risques les plus élevés. En tête la non-maîtrise de la chaîne de sous-traitance de l’hébergeur (50 %), la difficulté de mener des audits (46 %), et la non-maîtrise de l’utilisation du Cloud par les salariés (46 %). Pour pallier ce manque de sécurité, 91% des entreprises estiment que des outils et/ou dispositifs spécifiques doivent être mis en place.
Les objets connectés font apparaître de nouvelles typologies de menaces dues à l’absence de chiffrement pouvant porter atteinte à la confidentialité des données, ou l’absence d’authentification avec des accès non protégés… Selon les RSSI, les défis majeurs à relever en ce qui concerne l’IoT sont les failles de sécurité présentes dans ces équipement (43 %) et le flou dans l’appréciation des risques potentiels (28 %).
L’IA reste une technologie embarquée surtout dans les outils de supervision (SIEM), l’acquisition volontaire de solutions utilisant l’IA reste cantonnée à un faible nombre d’entreprises, le frein principal étant le faible niveau de confiance accordé (47 %).
Négligence des salariés : un risque fort
Un peu plus de 40 % des entreprises (43%) indique que le risque cyber le plus répandu est la négligence des salariés. Le Shadow IT est massivement répandu, mentionné par 98 % des répondants comme étant une menace à traiter. En effet, l’usage notoire des applications et services cloud le plus souvent gratuits s’est banalisé et échappe toujours au contrôle de la DSI. Cela accroît significativement les risques, comme les fuites de données via les outils de transfert d’information ou de partage de fichiers volumineux. D’autant que l’utilisation, même anecdotique, d’un service Cloud non sécurisé, peut suffire à compromettre l’intégrité et la sécurité des données de l’entreprise.
Les salariés, pourtant sensibilisés aux cyber-risques (74 %), ne respectent pas, pour la moitié d’entre eux, les recommandations. Pour tenter de mobiliser les salariés plus durablement, 77% des entreprises ont mis en place des procédures pour tester l’application des recommandations par les salariés.
Cyber-attaque de grande ampleur : 4 entreprises sur 10 préparées
La confiance des RSSI quant à la capacité de leur entreprise à faire face aux cyber-risques n’a pas progressé en un an, seuls 52 % se disant confiants. Mais surtout, à peine 4 entreprises sur 10 se disent préparées en cas de cyber-attaque de grande ampleur.
Parmi les outils de protection (12) mis en place dans les entreprises, l’enquête révèle une hausse notable des solutions d’authentification multi-facteur (72 %), soit une augmentation de 13 points, et des EDR (34 %) avec 14 points de plus qu’en 2019. Concernant l’approche « Zero Trust » qui fait son entrée dans le baromètre, avec une défiance non négligeable, bien que 30 % déclarent étudier la manière dont le modèle va se traduire, 16 % sont réellement engagés ou commence à mettre en œuvre ce concept. Les offres innovantes issues de startup sont adoptées par 42 % du panel, pour les 58 % qui n’y recourent pas le manque de maturité et la pérennité sont en question.
Les enjeux pour l’avenir
-La gouvernance est le premier enjeu de demain (70 %) soit 10 points de plus que l’année dernière, suivi par celui de la formation et la sensibilisation des usagers (57 %). Les ressources humaines sont une demande forte des entreprises : la moitié souhaite augmenter ses effectifs de cybersécurité, mais 90% se heurtent à la pénurie de profils en SSI, en particulier pour les métiers de pilotage, d’organisation et de gestion des risques (34%), suivi par les profils liés au support et à la gestion des incidents.
-L’augmentation du budget (50%) est un autre enjeu majeur. La part du budget IT consacré à la sécurité augmente dans les entreprises, et devrait continuer d’augmenter puisque 62 % d’entre elles indiquent vouloir allouer plus de ressources à la cybersécurité et 83% souhaitent acquérir de nouvelles solutions techniques.
*Le CESIN publie depuis 2015 son baromètre annuel avec OpinionWay, menée auprès de ses membres, Responsables Sécurité des Systèmes d’Information (RSSI) des grands groupes français. Le sondage a ciblé 634 membres de l’association, les résultats de l’étude portent sur un échantillon de 253 répondants.
