Le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN) a publié les résultats de son baromètre annuel, qui éclaire sur les tendances, les défis et les priorités du secteur. Ce baromètre s’appuie sur les résultats d’un sondage, réalisé par OpinionWay et auquel 401 membres, Directeurs Cybersécurité et Responsables Sécurité des Systèmes d'Information (RSSI) dans des grandes entreprises (47%), des ETI (39%) et quelques PME (14%), ont participé.

 

Des menaces stables en 2024 et une légère évolution dans les approches

47% des sondés, soit quasiment la moitié des entreprises interrogées, indiquent avoir subi au moins une cyberattaque* réussie au cours des 12 derniers mois (-2 points par rapport à 2023), ce qui souligne une certaine stabilité année après année. Cela peut notamment s’expliquer par le fait que les entreprises interrogées sont aujourd’hui mieux équipées en ressources et solutions de cybersécurité.

Le trio de tête des vecteurs d’attaques dominants est composé, à l’instar de l’année précédente, du phishing (60%), de l’exploitation de failles (47%) et des attaques par dénis de service (41%), qui visent à rendre inaccessible un serveur afin de provoquer une panne ou un fonctionnement fortement dégradé du service.

A noter également, l’arnaque au Président par le deepfake (enregistrement vidéo ou audio réalisé grâce à l’intelligence artificielle qui usurpe l’identité d’un cadre dirigeant d’une entreprise) fait une entrée timide bien que significative dans le baromètre, représentant 9% des vecteurs d’attaques identifiés et soulignant la spécialisation des techniques d’attaques. Un indicateur qu’il est conseillé d’observer de près, puisque l’arnaque au Président reste l’une des méthodes d’extorsion favorite des cybercriminels. Le deepfake exige par conséquent une vigilance accrue des entreprises, qui doivent intégrer des stratégies de détection et de sensibilisation spécifiques pour contrer ces nouveaux risques.

Le cyberespionnage reste une menace sous haute surveillance et continue de représenter un défi majeur : 4 entreprises sur 10 jugent ce risque élevé, un chiffre de taille lorsque l’on sait que certaines entreprises ne sont pas directement concernées du fait de leur activité. Ces chiffres illustrent la persistance des attaques ciblées contre des organisations stratégiques manipulant des données sensibles. Dans un contexte géopolitique tendu et face à une sophistication croissante des attaques, le cyberespionnage exige une vigilance spécifique et des moyens de protection renforcés pour défendre les actifs les plus critiques.

Concernant les causes des incidents de sécurité rencontrés par les entreprises, ces derniers sont principalement la cyberattaque opportuniste (38%), le défaut de configuration (33%), les vulnérabilités résiduelles (29%) et les défauts de gestion des comptes et/ou des droits associés (28%). Alors que le Shadow IT occupait en 2023 la 2ᵉ place du podium, il se trouve désormais relégué à la 5ᵉ place.

Les incidents liés aux tiers restent eux aussi une préoccupation majeure. 28% des entreprises qui ont subi un incident lié aux tiers signalent de mauvaises pratiques dans des opérations et prestations confiées à un tiers, et 85% d’entre elles adoptent des clauses de sécurité dans leurs contrats pour atténuer ces risques. Cette tendance s’inscrit dans la continuité des résultats de 2023, où l’impact des tiers était déjà souligné.

 

Un impact fort des cyberattaques sur l’activité des entreprises

On note une forte augmentation des attaques par dénis de service, mentionnées par 36% des répondants ayant subi une cyberattaque, juste derrière le vol des données (42%, soit une hausse de 11 points par rapport à 2023). L’usurpation d’identité complète le podium. En revanche, la menace des ransomware est en net recul en France en 2024 (-9 points par rapport à 2023). Il en va de même pour l’extorsion (5% en 2024 contre 9% en 2023), ce qui souligne à nouveau l’efficacité croissante des outils de défense et des processus de lutte contre la cybercriminalité des entreprises membres.

Bien que les chiffres soient stables par rapport à 2023, 65% des entreprises, soit une grande majorité, indiquent que les attaques qu’elles ont subies ont eu un impact sur l’activité commerciale de leur organisation, avec, en premier lieu, une perturbation de la production pendant une période significative, dans 23% des cas, suivi par une perte d’image (16%) et par l’indisponibilité du site web pendant une période significative (15%).

62% des entreprises ayant subi une cyberattaque ont par ailleurs porté plainte, une proportion stable mais qui reste insuffisante pour renforcer la lutte collective contre le crime cyber.

 

Des moyens de défense en constante amélioration et mieux perçus

Au fil des années, les moyens de défense ont prouvé leur efficacité. En effet, 84% des répondants estiment que les moyens de défense disponibles sur le marché sont adaptés à leur entreprise, un taux qui atteint même 90% dans les grandes entreprises. Ces niveaux de satisfaction restent à peu près constants entre 2023 et 2024.

L’EDR (Endpoint Detection and Response) et le MFA (authentification à facteurs multiples) sont majoritairement adoptés et 95% des répondants les jugent efficaces, voire très efficaces puisque 64% le jugent très efficaces pour le premier, et 60% pour le second. Des technologies totalement absentes il y a quelques années et qui font aujourd’hui des entrées remarquées. Si l’on compare aux pares-feux, ces derniers sont jugés efficaces par 95% des sondés, mais seulement 43% les considèrent comme très efficaces. Les pare-feux, l’EDR et le MFA sont donc logiquement parmi les solutions les plus déployées dans les entreprises, suivis par les passerelles de sécurité mail, les VPN accès distant et les EPP (Endpoint Protection Platform) / antivirus.

Dans l’ensemble, on constate une augmentation de la perception de l’efficacité des solutions proposées. À noter également, l’EDR gagne 10 points par rapport à l’année précédente sur la modalité « très efficace ». Il semble par conséquent que cette solution soit en passe de devenir communément adoptée.

De plus, de manière générale, les entreprises se protègent davantage en 2024. Les concepts innovants tels que le Zero Trust et le VOC (Vulnerability Operation Center) poursuivent leur progression, atteignant respectivement 31% (+7 points) et 26% (+9 points) pour les entreprises interrogées.

La part des entreprises qui indiquent être préparées en termes de moyens de détection à gérer une cyberattaque de grande ampleur est aussi en augmentation : elles étaient 75% en 2023, et 80% en 2024. Elles sont également plus sereines concernant leur reconstruction (60% en 2024 vs 51% en 2023) :  plus les entreprises savent rebondir, moins elles sont sujettes à pression après une demande de rançon.

Quant à la manière d’opérer les solutions et services mis en place, on note différentes méthodes (interne / externe / hybrides) : les vulnérabilités, l’EDR, la surface d’attaque et le VOC sont principalement gérés en interne quand on constate une forte propension à l’externalisation pour les pentests (tests d’intrusion), la threat intelligence (renseignement sur les cybermenaces) et les services des CERT-CSIRT, qui consistent à détecter, analyser, prévenir et répondre aux incidents de cybersécurité, en fournissant assistance technique, coordination en cas de crise, diffusion d’alertes, gestion des vulnérabilités et partage d’informations entre les parties prenantes pour renforcer la résilience des systèmes,  souvent du fait des difficultés de traitement en interne.

 

Des leviers de sécurité complémentaires : sensibilisation, pratiques internes et cyberassurance

Les usages numériques internes demeurent un facteur de risque pour les entreprises, mais les pratiques s'améliorent nettement en 2024. Le recours au Shadow IT (recours massif aux services cloud non approuvé) recule fortement (-10 points par rapport à 2023), de même que les partages non maîtrisés de données via le cloud collaboratif (-11 points), signe d’une meilleure compréhension des outils numériques par les collaborateurs. Cette évolution s’explique par une politique de sensibilisation toujours soutenue : 85% des utilisateurs sont formés aux risques cyber, un taux stable qui confirme l’importance de la prévention humaine.

Cependant, un tiers des entreprises n’organise toujours pas d’entraînement à la gestion de crise, bien que cette pratique progresse (+5 points). Ce déficit est préoccupant quand on sait que 55% des incidents sont liés à des erreurs humaines ou de configuration.

Par ailleurs, l’identification des assets (ensemble des équipements matériels, logiciels et contrats de l’entreprise) est encourageante : 76% des répondants déclarent avoir une bonne visibilité sur leurs équipements et leurs données, renforcée par le recours croissant à des outils comme les EASM (External Attack Surface Management) et le CAASM (Cyber Asset Attack Surface Management). Néanmoins, 15% des entreprises n’ont toujours pas identifié leurs actifs critiques, ce qui reste un point de vulnérabilité.

En outre, le débat sur la cyberassurance se clarifie. En 2024, 72% des répondants indiquent que l’entreprise dans laquelle ils travaillent ont souscrit à une police de cyberassurance, et 64% envisagent son renouvellement (+7 points). Cette adoption est favorisée par une stabilisation des tarifs et un marché devenu plus lisible. Enfin, le recours par les cyberassureurs à des agences de notation reste controversé : 53% des répondants estiment que cette pratique soulève des réserves, pour des questions d’opacité, de fiabilité et de partialité dans l’analyse.

 

Cloud et intelligence artificielle (IA) : entre adoption croissante et enjeux de maîtrise

L’adoption du cloud continue de progresser, avec une part croissante des entreprises dont plus de 75% du SI repose sur des infrastructures IaaS/PaaS (+9 points). 63% des entreprises estiment que la sécurisation des données hébergées dans le cloud requiert des outils spécifiques, en raison du multi-cloud et de la chaîne de sous-traitance de l’hébergeur. Un tiers d’entre elles ont d’ailleurs souscrit à des outils supplémentaires. À noter, 17% n’ont recours ni aux outils natifs ni à d’autres outils, un chiffre en augmentation (+6 points).

L’IA est massivement adoptée en 2024 (+23 points), soit près de 7 entreprises sur 10, avec 35% des entreprises qui l’intègrent officiellement dans leur stratégie de sécurité, ce qui révèle également un potentiel d’amélioration significatif. Elle s’impose aujourd’hui comme un levier de transformation numérique incontournable.

L’adaptation des solutions de sécurité à la transformation numérique devient le premier enjeu identifié en 2024 pour l’avenir de la cybersécurité.

 

Gouvernance, budget et cadre réglementaire : vers une cybersécurité structurée et durable

En 2024, 48% des entreprises déclarent consacrer 5% ou plus de leur budget IT à la cybersécurité. Malgré un budget global dédié à la cybersécurité stable, les intentions d’augmenter les effectifs alloués à la protection contre les cyber-risques, les budgets et l’acquisition de nouvelles solutions techniques diminuent, traduisant un possible tassement à surveiller en 2025.

Côté réglementaire, près de 80% des entreprises déclarent être impactées par des règlementations cyber (hors RGPD), en particulier par la Directive européenne NIS2, qui touche 74% des répondants, loin devant DORA (38%). Ces obligations renforcent l'intégration de la conformité et des normes dans les stratégies de sécurité.

La cybersécurité est ancrée dans la gouvernance d’entreprise : bien que 7% se disent très inquiets, les trois quarts des répondants ont confiance dans la capacité de leur COMEX à comprendre les enjeux cyber et la quasi-totalité des entreprises estime avoir confiance en sa capacité à faire face aux risques cyber. En outre, la quasi-totalité des entreprises identifient le risque cyber dans leur cartographie des risques, et 7 sur 10 le positionnent même dans le TOP3. 15% indiquent d’ailleurs qu’il s’agit du risque n°1.

Enfin, 77% des RSSI intègrent désormais la cybersécurité dans les démarches RSE, un rapprochement qui illustre la reconnaissance croissante de la cybersécurité comme pilier stratégique et sociétal.

 

Le baromètre 2024 du CESIN confirme que les cyberattaques restent nombreuses, mais que les entreprises gagnent en résilience. Les vecteurs classiques persistent, tandis que de nouvelles menaces émergent (Arnaque au Président par deepfake notamment). Les pratiques internes progressent, soutenues par la formation. L’adoption du cloud et de l’IA impose une transformation continue des outils et des méthodes. Enfin, la prise en compte de la cybersécurité au niveau du COMEX et les exigences réglementaires renforcent progressivement la maturité organisationnelle, plaçant la cybersécurité au cœur des priorités stratégiques.

* Cyberattaque - Définition donnée pour cette enquête : « La cyberattaque est le fait de subir un acte malveillant envers un dispositif
informatique portant atteinte de manière significative à la confidentialité et/ou à l’intégrité de l'information de l’entreprise ou encore à la disponibilité du système d’information entraînant des pertes financières significatives et/ou une atteinte à l’image de l’entreprise et/ou des efforts significatifs de défense pour contenir et traiter l’attaque. Nous ne comptons pas les tentatives d’attaques qui ont été arrêtées par les systèmes de prévention. »

 

Observatoire Systèmes d'informations en partenariat avec Le CESINle 9 juin 2025.

 

L'application mobile

Ne perdez pas le fil !

Les observatoires délivrent des publications synthétiques permettant de suivre et de décrypter les grandes mutations en cours avec une vision globale et transversale. Citoyens, étudiants, dirigeants, collaborateurs, territoires : l'objectif est de permettre à chacun de prendre position et de réagir à son échelle en partageant un socle commun d'informations. 

EN SAVOIR PLUS

 

 

 

Partager cet article
Partager sur FacebookPartager sur TwitterEnvoyer à un amiCopy to clipboard
Suggestions
03/01/2022
Cybersécurité en entreprise : meilleure prise en compte des risques cyber, déploiement de mesures et axes d’amélioration
Lire
Toutes les actus