80% des entreprises françaises n’ont pas de plan de réponse aux incidents de cybersécurité

• Print
• Twitter
• Linkedin

Le Ponemon Institute et IBM dévoilent les données françaises de leur nouvelle étude internationale autour de la cyber-résilience des infrastructures. Et le moins que l’on puisse dire, c’est que même si la résilience de nos entreprises tend à s’améliorer, il reste encore un long chemin à parcourir…

Il y a fort longtemps que le mythe de « l’entreprise inviolée et inviolable » n’est plus perçu comme possible ou réel par les RSSI et les DSI. Ce qui compte c’est la résilience, autrement dit la capacité à prévenir, détecter, contenir et surtout se remettre de la myriade d’attaques contre les données, les identités, les applications et l’infrastructure IT. La récente crise pandémique a désorganisé le travail et les processus. Plus de la moitié des employés nouvellement mis en télétravail opèrent de chez eux sans aucune politique de sécurité adaptée à leur nouveau contexte.

Une nouvelle étude du très sérieux Ponemon Institute, sponsorisée par IBM, dévoile la façon dont les entreprises planifient leur réponse aux cyberattaques et leur capacité à détecter et à contenir les incidents de sécurité. Cette étude s’appuie sur les réponses de plus de 3 400 professionnels de l’informatique et de la sécurité à travers le monde, dont 343 responsables français.

Des incidents de plus en plus graves et de plus en plus nombreux

L’étude montre ainsi que 55% des entreprises françaises interrogées ont, au cours des deux dernières années, connu une fuite de données entraînant la fuite de plus de 1 000 enregistrements avec des données confidentielles d’utilisateurs ou des informations Business sensibles.

De même, 54% des entreprises françaises interrogées ont, au cours des deux dernières années, connu un incident de sécurité ayant entraîné une perturbation significative des processus métier de l’entreprise.

Et quand on leur demande la fréquence des perturbations liées aux incidents de sécurité sur les services IT ou sur les processus métiers, 15% des entreprises interrogées répondent « très fréquemment » et 40% « fréquemment ». Elles ne sont que 16% à n’être que rarement perturbées par des incidents de sécurité et 5% à ne l’avoir jamais été !

Par ailleurs 68% des responsables interrogés ont constaté une augmentation dans la volumétrie des incidents de cybersécurité sur les 12 derniers mois et 73% une augmentation de la sévérité des incidents.

Pour 63% des entreprises françaises interrogées, la fuite d’informations sensibles constitue la menace la plus sévère à leurs yeux. Elles sont 46% à considérer la perte de productivité des employés comme l’une des trois menaces les plus sévères, 40% à placer les dommages sur l’infrastructure dans les 3 principales menaces les plus sévères.

Sur l’année écoulée, 40% des entreprises françaises de l’étude considèrent que leur cyber-résilience s’est améliorée. À l’inverse 28% n’ont constaté aucune amélioration de leur cyber-résilience et 5% estiment même qu’elle s’est dégradée durant l’année.

Une impression d’amélioration essentiellement mesurée à la quantité d’attaques qu’elles ont réussi à bloquer et aux temps réduits écoulés avant d’identifier ou de contenir un incident de sécurité.
Elle trouve son origine, pour les responsables concernés, dans l’amélioration des pratiques de gouvernance, dans l’amélioration de leur visibilité sur les données et applications, dans l’élimination des silos, dans l’implémentation d’automatisations et dans l’utilisation de l’IA au service de la cyber-securité. Par ailleurs, l’usage de services cloud a contribué à améliorer la cyber-résilience pour 59% des responsables interrogés. Ils sont 25% à considérer qu’un tel usage n’a pas eu d’impact et 17% à se considérer désormais moins résilients depuis l’adoption de services cloud !

En revanche pour les 33% d’entreprises qui n’ont pas constaté d’amélioration voire noté une dégradation, les causes sont principalement la réduction de leur personnel qualifié, le manque de budget, la persistance des silos et le manque de formation ou certification des équipes de sécurité.

 

Des réponses aux incidents qui manquent de maturité et de planification

Des résultats finalement mitigés qui s’expliquent probablement par le fait que 80% des entreprises n’ont pas de plans de réponse aux incidents de cybersécurité dignes de ce nom. 24% en ont un mais uniquement partiellement appliqué dans l’entreprise, 31% en ont un mais très informel et 25% n’en ont tout simplement pas ! Par ailleurs, parmi ceux qui ont un plan, seulement 8% en font un test et une évaluation tous les trimestres, 8% deux fois par an et 37% une seule fois par an. 48% des entreprises ayant un plan de réponse aux incidents de cybersécurité n’ont apparemment pas le temps ni les processus pour l’évaluer et le mettre à jour !

Pas surprenant dès lors de constater que seulement 29% des entreprises françaises interrogées affirment disposer de manuels (playbooks) pour les différents types d’attaques. Malheureusement, ces playbooks sont apparemment très incomplets. Parmi ces entreprises disposant de playbooks, seules 48% en ont un sur les Ransomwares, 31% en ont un sur les BEC (les fameux Business Email Compromised, ou « fraude au patron ») et 28% en ont un sur les APT.

Enfin l’omerta française en matière de cybersécurité persiste. En effet, 62% des responsables français interrogés affirment ne pas partager d’information sur les attaques cyber dont leurs entreprises sont victimes principalement parce qu’ils ne perçoivent pas quels pourraient en être les bénéfices pour leur organisation mais aussi par manque de ressources, de budget et par crainte de voir leur responsabilité engagée ou des éléments confidentiels ou stratégiques dévoilés.