Quelques jours avant le Forum international sur la Cyber-sécurité, ce baromètre constitue une analyse exclusive de la cyber-sécurité dans grandes entreprises françaises. Qui mieux que le Club des Experts de la Sécurité de l’Information et du Numérique peut présenter un tel état des lieux qui permet de cerner l’état de l’art et la perception de la cyber-sécurité et de ses enjeux au sein des grandes entreprises françaises. Enquête réalisé en partenariat avec avec OpinionWay conduite  auprès de ses membres, Responsables Sécurité des Systèmes d’Information (RSSI) des grands groupes français. 498 membres de l’association ont été ciblés, et les résultats de l’étude portent sur un échantillon de 174 répondants.

A l’heure où la transformation numérique est sur toutes les lèvres, l’impact des cyber-attaques est de plus en plus décisif. Et Si le nombre des cyber-attaques constatées tend à se stabiliser, huit entreprises sur dix continuent d’être impactées, avec pour 59% d’entre elles des conséquences sur le business (arrêt de la production, indisponibilité   significative   du   site internet,   perte   de   chiffre   d’affaire…)  soit   10   points d’augmentation par rapport à l’année dernière.

Il ressort également de ce baromètre que le Phishing est le mode d’attaque le plus fréquent, 7 % en ont été victimes, étonnamment l’arnaque au Président que l’on croyait en extinction touche encore une entreprise sur deux en 2018. Le Ransomware est au troisième rang avec 44% d’entreprises touchées, suivi par le social engineering (40%).

Le Shadow IT est le risque cyber le plus répandu, mentionné par 64% des répondants comme étant une menace à traiter. En effet, l’usage notoire des applications et services cloud le plus souvent gratuits, s’est banalisé et échappe au contrôle de la DSI. Cela accroît significativement les risques, comme les fuites de données via les outils de transfert d’information ou de partage de fichiers volumineux.   D’autant   que   l’utilisation   même   anecdotique   d’un   service   Cloud, peut   suffire   à compromettre l’intégrité et la sécurité des données de l’entreprise.

D’autre part, 98% des entreprises estiment que la transformation numérique a une incidence sur la sécurité des systèmes d’information des données. En tête des enjeux : le recours massif au Cloud, utilisé par 87% des entreprises, dont 52% dans des clouds publics. Un mode de stockage qui pose des problèmes de non-maîtrise ; que ce soit par rapport à l’accès aux données de l’entreprise par les hébergeurs (via les administrateurs ou autres) ou par rapport à la chaîne de sous-traitance pratiquée par le fournisseur.

Pour 89% des RSSI interrogés ces enjeux impliquent le recours à des outils de sécurisation supplémentaires à ceux proposés par le prestataire. Dans un même temps, les objets connectés se sont progressivement installés dans le paysage et la course à l’innovation ne va pas de pair avec l’implémentation de la sécurité, faisant apparaître de nouvelles typologies de menaces. Les nombreux cas de piratage témoignent d’une progression de la cybercriminalité via les objets connectés.

Pour l’IoT, la caractéristique la plus marquante reste les failles de sécurité présentes dans ces équipements.

On notera souvent l’absence de chiffrement pouvant porter atteinte à la confidentialité, ou l’absence d’authentification avec des accès non protégés. Face aux cyber-risques, une cyber-résilience à développer. Pour contrer ces cyber-risques, les RSSI déploient une panoplie de solutions techniques, globalement jugées adaptées à leurs besoins (75%), même si des progrès restent à faire dans leur adaptation à la transformation numérique.

À noter l’enjeu de l’IA :  56% des répondants ont mis en place des solutions basées sur l’IA ou envisagent de le faire ; toutefois 55% estiment que l’IA ne se substituera pas à l’expertise humaine en matière de sécurité.

Pour autant, une interrogation : les entreprises françaises sont-elles en capacité de défendre leurs infrastructures ? Les RSSI se disent moins confiants que l’année dernière quant à la capacité de leur entreprise à faire face aux cyber-risques. 51% sont confiants, soit une baisse de 12 points ; et moins d’un sur deux considère que son entreprise est préparée à gérer une cyber-attaque de grande ampleur. 50% ont désormais souscrit à une cyber-assurance, soit une hausse de 10 points, mais seule une entreprise sur dix a mis en place un véritable programme de cyber-résilience. Si ce n’est pas en projet pour 21%, c’est une tendance avec 33% en cours et 34% qui l’envisagent.

Trois enjeux pour l’avenir, essentiellement humains. D’après les RSSI, l’enjeu principal pour l’avenir de la cyber-sécurité est celui de la formation et de la sensibilisation des utilisateurs (61%). Les usages des salariés apportent en effet leur lot de risques, notamment via le shadow IT. Et si les salariés sont sensibilisés, ils restent peu impliqués en ne suivant pas forcément les recommandations. Un important travail de pédagogie reste à faire.

L’enquête s’interroge également sur la place de la gouvernance de la cyber-sécurité. Elle doit également être placée au bon niveau pour 60% des RSSI. Malgré un impact positif de la mise en conformité RGPD sur la gouvernance des entreprises (59%), la confiance en la capacité des COMEX à prendre en compte les enjeux de la cyber-sécurité est très inégale en fonction des secteurs d’activité.

Du reste, en France comme dans le reste du monde, la pénurie de ressources humaines en cybersécurité est un défi majeur pour les organisations, constatée par 91% des RSSI … À l’heure où 50% d’entre eux prévoient d’augmenter les effectifs alloués à la protection contre les cyber-risques.

Emmanuel Mayega
A propos de l'auteur

Directeur de la rédaction et de la publication du magazine Assurance & Banque 2.0 et de ce site, Emmanuel a une connaissance accrue de l’intégration des technologies dans l’assurance, la banque et la santé. Ancien rédacteur en chef de ce magazine, il a pendant plus d'une décennie été rédacteur en chef adjoint d’Assurance & Informatique Magazine. ll est un observateur affûté du secteur. Critique, il se définit comme esprit indépendant et provocateur, s’il le faut.

Site web : http://www.assurbanque20.fr

Twitter LinkedIn Google+

Newsletter

Vous n'avez pas le temps suivre l'actualité ? Découvrez nos newsletters gratuites, quotidiennes ou hebdomadaires.

Inscription Newsletter


Le Mensuel

Chaque mois, un regard éclairé et sans concession sur l'actualité de l'Assurance, de la Banque et des Services Financiers.

Découvrir le magazine