L’association a rendu public les résultats de sa nouvelle enquête réalisée par Opinionway auprès de ses membres. Au total, 328 directeurs Cybersécurité et responsables Sécurité des Systèmes d’Information (RSSI) ont accepté de se prêter à l’exercice.
Première bonne nouvelle de ce baromètre : 75 % des répondants sont confiants quant à l’engagement de leur comité exécutif en termes de cybersécurité. Le sujet est donc bien pris en compte et ne fait plus office de figurant dans les préoccupations du Comex ! Cela expliquerait-il la deuxième bonne nouvelle ? L’étude menée par OpinionWay fait en effet ressortir (tout comme l’Anssi l’a également observé) une baisse du nombre d’organisations victimes de cyberattaques. “Nous parlons ici d’attaques qui ont eu un impact, précise Mylène Jarossay, présidente du Cesin et CISO du Groupe LVMH. Car des attaques et des tentatives il y en a tous les jours et à longueur de journée…”
En 2022, moins d’une entreprise sondée sur deux auraient donc été touchée par une cyberattaque, contre 54 % l’an dernier et 65 % en 2019. “L’information peut sembler contradictoire avec le climat général, certes, mais montre néanmoins que les actions mises en œuvre commencent à porter leurs fruits”, ajoute Alain Bouillé délégué général du Cesin. Alain Bouillé fait ici références aux politiques de sensibilisation, à l’investissement dans les outils de protection, à la capacité de détection et de gestion des incidents et, également, aux diverses mises en situation des salariés comme lors d’entraînement en gestion de crises.
Déjà dix ans au service de la communauté Cybersécurité
Partenaire de l’Anssi, de la Cnil, de la Befti, de la Gendarmerie Nationale, du Cercle Européen de la sécurité, d’Acyma (cybermalveillance.gouv.fr), de l’Afai, de l’EBG, de Gimelec, du CyberCercle et de l’Epita, le Cesin compte plus de 900 membres issus de tous secteurs d’activité, industries et entreprises, dont certaines issus du CAC40 et du SBF120 ainsi que de ministères. Lieu d’échange, de partage de connaissances et d’expériences, le CESIN permet la coopération entre experts de la sécurité de l’information et du numérique et entre ces experts et les pouvoirs publics. Il participe à des démarches nationales et est force de proposition sur des textes réglementaires, guides et autres référentiels. Afin de mieux cerner l’état de l’art et la perception de la cybersécurité et de ses enjeux au sein des entreprises françaises, le Cesin publie depuis 2015 son baromètre annuel avec OpinionWay.
Dix observations à retenir
Dans un communiqué, l’association s’est fait le relais de son baromètre et a recensé les principales informations à retenir. L’étude est disponible derrière ce lien, pour celles et ceux qui souhaiteraient approfondir certains points avec des chiffres plus précis.
- Les attaques par ransomware ont touché moins d’1 entreprise sur 5. Cependant, si pour 64 % des répondants le nombre d’attaques abouties est resté stable, cela ne signifie pas que l’activité soit moins dense, 24% des entreprises ayant déclaré au moins une attaque en 2022 estiment toujours que le phénomène est en augmentation.
- Le phishing reste le vecteur d’attaque le plus fréquent. 74 % des entreprises déclarent le phishing comme vecteur d’entrée principal pour les attaques subies. Parmi les autres moyens de transmission l’exploitation des failles (45 %) et nous savons que le nombre de vulnérabilités.
- Dans 60 % des cas, les attaques impactent fortement le business des entreprises, avec pour effet de perturber significativement la production pour 24 % des sondés. Dans 7 % des cas, on constate un déficit du chiffre d’affaires. Au nombre des préjudices, le vol de données (35 %), l’usurpation d’identités (33 %), et les données chiffrées par ransomware (22 %).
- Une entreprise sur deux considère toujours que le niveau de menaces en matière de cyberespionnage est élevé (50 %). Ces opérations visent le plus souvent des cibles d’intérêts stratégiques. Une dynamique à nouveau confirmée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui rappelle que le ciblage des victimes peut affecter les fournisseurs d’opérateurs stratégiques, leurs prestataires et parfois leurs autorités de tutelle.
- A propos du Cloud, qui représente moins de 50 % du SI en moyenne chez les répondants, les principaux facteurs de risques induits concernent toujours la non maîtrise de la chaîne de sous-traitance de l’hébergeur et la difficulté de contrôle des accès par les administrateurs de l’hébergeur. La surveillance de la sécurité des Clouds requiert des outils spécifiques et dans la grande majorité des cas (89 %) il est jugé nécessaire d’utiliser d’autres dispositifs que ceux proposés nativement par les fournisseurs de Cloud.
- 6 entreprises sur 10 se disent préoccupées par les sujets de souveraineté et de Cloud de confiance. Ce qui suppose toujours une attente forte autour des perspectives de potentiels rééquilibrage des forces avec le développement de solutions dites de confiance annoncées en France et en Europe.
- L’axe sensibilisation est au rang des mesures qui progressent pour faire face aux défis de la cyber. 8 entreprises sur 10 mènent des campagnes de sensibilisation auprès des collaborateurs. La culture de la cybersécurité n’est pourtant toujours pas suffisamment ancrée dans les organisations, seuls 2/3 des utilisateurs respectent les recommandations. D’autant que la négligence et les erreurs de manipulation constituent la principale cause d’incidents (38 %). Alors que tous les collaborateurs ont un rôle à jouer en matière de cybersécurité, on déplore encore un manque d’expertise sécurité pour les administrateurs, architectes ou développeurs, une compétence qui permettrait un progrès significatif dans la contribution de chacun de ces métiers à réduire les risques.
- Les outils sont au cœur de la politique de protection avec une moyenne d’adoption de 15 solutions et services par organisation. On constate un bon niveau de confiance dans les solutions puisque 88 % des répondants jugent les solutions du marché plutôt adaptées. Une place prépondérante est donnée aux outils de détection et de réponse aux incidents. L’authentification multifacteur concerne 81 % des entreprises et est réputée performante. C’est d’autant plus important que 33 % des attaques ont conduit à des usurpations d’identités. On note une forte hausse du déploiement des EDR, devenu une réalité dans 81 % des entreprises. Les outils de gestion des vulnérabilités ainsi que les services de SOC comptent parmi les dispositifs jugés les plus efficaces. Enfin, on peut noter que 6 entreprises sur 10 ont recours à des offres innovantes issues de startups.
- Les budgets alloués à la cybersécurité augmentent encore légèrement cette année. Ils dépassent majoritairement 5 % du budget IT global. 6 3% prévoient une augmentation allouée aux dispositifs de protection, et 54 % attribuée à l’augmentation des effectifs. 82 % prévoient d’acquérir de nouvelles solutions. In fine, 77 % estiment avoir les moyens de se prémunir d’une cyberattaque de grande ampleur, mais plus de la moitié se déclare limitée dans son aptitude à répondre et reconstruire. La résilience des SI face à des cyberattaques reste un maillon important à améliorer dans la stratégie de défense.
- Près de 2/3 des répondants ont souscrit une cyberassurance. Les premiers bilans révélaient un moindre taux de satisfaction pour ceux qui avaient eu recours à l’assurance, tandis que 76 % d’entre eux ne l’ont pas utilisée. Cette année, 1 répondant sur 10 se déclare hésitant pour renouveler son contrat, et 2 % y ont déjà renoncé. En outre, une majorité d’entreprises émet un avis négatif sur le recours aux services d’agences de notation par les assureurs. De son côté, le Cesin note toujours une forte hausse des tarifs, pour une baisse des couvertures, avec toujours plus d’exclusions, et des niveaux d’exigences de la part des assureurs, quasiment inatteignables.