Chaque année, OpinionWay mène une enquête indépendante et exclusive pour le CESIN, le Club des Experts de Sécurité de l’Information et du Numérique, afin de connaître la perception de la cybersécurité et de ses enjeux dans les entreprises, ainsi que la réalité concrète de la sécurité informatique au sein des organisations.

L’enquête 2022 a été menée auprès de 328 membres du CESIN, Directeurs Cybersécurité et Responsables Sécurité des Systèmes d'Information (RSSI) des entreprises françaises. Parmi les répondants, on note une parfaite répartition entre les entreprises françaises (grandes groupes, ETI, TPE/ PME).

 

Les cyberattaques en baisse dans les entreprises

Bien que la menace soit toujours très présente, les cyberattaques sont en baisse et concernent désormais moins d’une entreprise sondée sur deux. En effet, 45% des entreprises sondées indiquent avoir constaté au moins une cyberattaque, contre 54% en 2021. A noter que le baromètre tient compte uniquement des attaques réussies, ayant eu des répercussions significatives pour les victimes (pertes financières ou atteinte à l’image de l’entreprise). Aussi, l’anticipation semble porter ses fruits à mesure des politiques de sensibilisation, de l’investissement dans les outils de protection, de la capacité de détection et de gestion des incidents, ou de l’entraînement aux situations de crises.

Le nombre de victimes d’attaques par ransomware est également en baisse. En 2022, ces attaques ont touché moins d’1 entreprise sondée sur 5. Aussi, les entreprises se dotent de plus en plus de systèmes de protection efficaces. Cependant, si pour 64% des répondants le nombre d’attaques abouties est resté stable, cela ne signifie pas que l’activité soit moins dense. En effet, 24% des entreprises ayant déclaré au moins une attaque en 2022 estiment que le phénomène est en augmentation.

Sans grande surprise, le phishing reste le vecteur d’entrée principal pour les attaques subies (74% des répondants). Arrivent ensuite, parmi les autres moyens de transmission, l’exploitation des failles due à la vulnérabilité logicielle ou à un défaut de configuration (45%). Ce point soulève notamment l’importance de la loi sur la cyberrésilience (CRA – Cyber Resilience Act), dont le projet a été proposé par la Commission Européenne en septembre 2022 et qui introduit des exigences obligatoires en matière de cybersécurité pour les produits matériels et logiciels, tout au long de leur cycle de vie.

D’autre part, le nombre d’attaque indirecte par rebond via un prestataire est également en augmentation. Sur ce point, il convient de noter que la gestion des risques liés aux tiers prend une place de plus en plus importante dans les activités des responsables cybersécurité.

 

Les menaces relatives au cyber espionnage restent élevées

Plus d’une entreprise sur deux considère toujours que le niveau de menaces en matière de cyber espionnage est élevé. Ces opérations visent le plus souvent des cibles d’intérêts stratégiques. Une dynamique confirmée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui rappelle que le ciblage des victimes peut affecter les fournisseurs d’opérateurs stratégiques, leurs prestataires et parfois leurs autorités de tutelle.

 

Les risques liés à l’usage du Cloud

Le Cloud représente moins de 50% du SI (système d’information) en moyenne chez les répondants. Les principaux facteurs de risques induits concernent la non maîtrise de la chaîne de sous-traitance de l’hébergeur et la difficulté de contrôle des accès par les administrateurs de l’hébergeur. La surveillance de la sécurité des clouds requiert des outils spécifiques, et dans la grande majorité des cas, 89%, il est jugé nécessaire d’utiliser d’autres dispositifs que ceux proposés nativement par les fournisseurs de cloud.

 

Des causes et conséquences qui nécessitent l’indispensable mise en place de moyens en interne

Lorsque l’on regarde les principales causes des incidents de sécurité, on constate que la négligence, l’erreur de manipulation ou de configuration d’un administrateur interne ou d’un salarié arrive en première position (38%). Les vulnérabilités résiduelles permanentes ainsi que le Shadow IT (mise en place / utilisation d’applications non approuvées) arrivent respectivement en 2e et 3e positions. Des points préoccupants qui soulignent l’importance pour les entreprises de consacrer des moyens en interne afin de former les salariés et administrateurs internes aux risques cyber. Aussi, l’axe sensibilisation est au rang des mesures qui progressent pour faire face aux défis du cyber.

8 entreprises sur 10 mènent des campagnes de sensibilisation auprès des collaborateurs. La culture de la cybersécurité n’est pourtant toujours pas suffisamment ancrée dans les organisations, puisque seuls 2/3 des utilisateurs respectent les recommandations. Alors que tous les collaborateurs ont un rôle à jouer en matière de cybersécurité, on déplore encore un manque d’expertise sécurité pour les administrateurs, architectes ou développeurs, une compétence qui permettrait un progrès significatif dans la contribution de chacun de ces métiers à réduire les risques.

Concernant les conséquences des attaques, ces dernières impactent fortement le business des entreprises dans 60% des cas, avec pour effet de perturber significativement la production pour 24% des sondés. Dans 7% des cas on constate un déficit du chiffre d’affaires.

Le vol de données (35%), l’usurpation d’identités (33%), et les données chiffrées par ransomware (22%) restent, année après année, les conséquences principales des attaques.

 

Des mesures de protection plus nombreuses et efficaces

Les outils sont au cœur de la politique de protection avec une moyenne d’adoption de 15 solutions et services par organisation.

On constate également un bon niveau de confiance dans les solutions puisque 88% des répondants jugent les solutions du marché plutôt adaptées. Une place prépondérante est donnée aux outils de détection et de réponse aux incidents. La MFA (authentification multi-facteurs) concerne 81% des entreprises et est réputée performante. C’est d’autant plus important que 33% des attaques ont conduit à des usurpations d’identités. On note une forte hausse du déploiement des EDR (outils et solutions qui mettent l’accent sur la détection d’activités suspectes directement sur les équipements informatiques), devenu une réalité dans 81% des entreprises. Les outils de gestion des vulnérabilités ainsi que les services de SOC (Security Operations Center) comptent parmi les dispositifs jugés les plus efficaces. Enfin, on peut noter que 6 entreprises sur 10 ont recours à des offres innovantes issues de start-up.

La moitié des entreprises a également mis en place un programme d’entraînement à la crise cyber, un nombre qui ne cesse de croître d’année en année (44% en 2021 et 51% en 2022). Les questions de survie après une attaque et de résilience sont en progrès dans le programme des RSSI. Aussi, outre le renforcement de la sensibilisation (82%), les RSSI déploient massivement les dispositifs jugés les plus efficaces tels que les EDR (71%) et le scan de vulnérabilité / patch de management. On constate ainsi un équilibrage du système de défense entre détection, réponse et réparation.

On note également une tendance forte à externaliser les services de sécurité ou à les mettre en place de manière dual interne/externe.

 

Un budget qui augmente en douceur

Les budgets cyber augmentent encore légèrement cette année. Ils dépassent majoritairement 5% du budget IT global, ce qui indique que les entreprises consacrent de plus en plus de moyens à la cybersécurité. 63% des répondants indiquent pouvoir augmenter leur budget alloué à la protection contre les cyber-risques et 54% prévoient d’augmenter les effectifs alloués à la protection cyber.

 

La cyber assurance, un marché qui interroge

Près de 2/3 des répondants ont souscrit une cyber assurance. 76% des répondants ayant souscrit à une cyber assurance indiquent ne pas l’avoir utilisée. En 2022, 1 répondant sur 10 se déclare hésitant pour renouveler son contrat, et 2% y ont déjà renoncé. En outre, une majorité d’entreprises émet un avis négatif sur le recours aux services d’agences de notation par les assureurs. De son côté Le CESIN note toujours une forte hausse des tarifs, pour une baisse des couvertures, avec toujours plus d’exclusions, et des niveaux d’exigences de la part des assureurs, quasiment inatteignables.

 

La cyber sécurité reste un enjeu primordial pour les entreprises

La prise en compte des enjeux de cybersécurité au sein du COMEX est stable. Le sujet cybersécurité est bien présent dans les COMEX. 75% des répondants sont confiants sur l’engagement de leur comité exécutif. Placer la gouvernance de la cybersécurité au bon niveau dans l’entreprise est au premier rang des objectifs d’avenir.

 

 

Observatoire Systèmes d'Informations en partenariat avec Le CESINle 09 février 2023.

 

L'application mobile

Ne perdez pas le fil !

Les observatoires délivrent des publications synthétiques permettant de suivre et de décrypter les grandes mutations en cours avec une vision globale et transversale. Citoyens, étudiants, dirigeants, collaborateurs, territoires : l'objectif est de permettre à chacun de prendre position et de réagir à son échelle en partageant un socle commun d'informations. 

EN SAVOIR PLUS

 

 

 

Partager cet article
Partager sur FacebookPartager sur TwitterEnvoyer à un amiCopy to clipboard