Le Ponemon Institute et IBM dévoilent les données françaises de leur nouvelle étude internationale autour de la cyber-résilience des infrastructures. Et le moins que l’on puisse dire, c’est que même si la résilience de nos entreprises tend à s’améliorer, il reste encore un long chemin à parcourir…

Il y a fort longtemps que le mythe de « l’entreprise inviolée et inviolable » n’est plus perçu comme possible ou réel par les RSSI et les DSI. Ce qui compte c’est la résilience, autrement dit la capacité à prévenir, détecter, contenir et surtout se remettre de la myriade d’attaques contre les données, les identités, les applications et l’infrastructure IT. La récente crise pandémique a désorganisé le travail et les processus. Plus de la moitié des employés nouvellement mis en télétravail opèrent de chez eux sans aucune politique de sécurité adaptée à leur nouveau contexte.

Une nouvelle étude du très sérieux Ponemon Institute, sponsorisée par IBM, dévoile la façon dont les entreprises planifient leur réponse aux cyberattaques et leur capacité à détecter et à contenir les incidents de sécurité. Cette étude s’appuie sur les réponses de plus de 3 400 professionnels de l’informatique et de la sécurité à travers le monde, dont 343 responsables français.

Des incidents de plus en plus graves et de plus en plus nombreux

L’étude montre ainsi que 55% des entreprises françaises interrogées ont, au cours des deux dernières années, connu une fuite de données entraînant la fuite de plus de 1 000 enregistrements avec des données confidentielles d’utilisateurs ou des informations Business sensibles.

De même, 54% des entreprises françaises interrogées ont, au cours des deux dernières années, connu un incident de sécurité ayant entraîné une perturbation significative des processus métier de l’entreprise.

Et quand on leur demande la fréquence des perturbations liées aux incidents de sécurité sur les services IT ou sur les processus métiers, 15% des entreprises interrogées répondent « très fréquemment » et 40% « fréquemment ». Elles ne sont que 16% à n’être que rarement perturbées par des incidents de sécurité et 5% à ne l’avoir jamais été !

Fréquence de perturbation du Business par des incidents de cybersécurité

Par ailleurs 68% des responsables interrogés ont constaté une augmentation dans la volumétrie des incidents de cybersécurité sur les 12 derniers mois et 73% une augmentation de la sévérité des incidents.

Pour 63% des entreprises françaises interrogées, la fuite d’informations sensibles constitue la menace la plus sévère à leurs yeux. Elles sont 46% à considérer la perte de productivité des employés comme l’une des trois menaces les plus sévères, 40% à placer les dommages sur l’infrastructure dans les 3 principales menaces les plus sévères.

Comment les entreprises mesurent-elles la sévérité des incidents?

Sur l’année écoulée, 40% des entreprises françaises de l’étude considèrent que leur cyber-résilience s’est améliorée. À l’inverse 28% n’ont constaté aucune amélioration de leur cyber-résilience et 5% estiment même qu’elle s’est dégradée durant l’année.

Evolution de la cyber-résilience des entreprises sur les 12 derniers mois

Une impression d’amélioration essentiellement mesurée à la quantité d’attaques qu’elles ont réussi à bloquer et aux temps réduits écoulés avant d’identifier ou de contenir un incident de sécurité.
Elle trouve son origine, pour les responsables concernés, dans l’amélioration des pratiques de gouvernance, dans l’amélioration de leur visibilité sur les données et applications, dans l’élimination des silos, dans l’implémentation d’automatisations et dans l’utilisation de l’IA au service de la cyber-securité. Par ailleurs, l’usage de services cloud a contribué à améliorer la cyber-résilience pour 59% des responsables interrogés. Ils sont 25% à considérer qu’un tel usage n’a pas eu d’impact et 17% à se considérer désormais moins résilients depuis l’adoption de services cloud !

Perception et mesures de l’amélioration de la cyber-résilience

En revanche pour les 33% d’entreprises qui n’ont pas constaté d’amélioration voire noté une dégradation, les causes sont principalement la réduction de leur personnel qualifié, le manque de budget, la persistance des silos et le manque de formation ou certification des équipes de sécurité.

Les raisons derrière la non amélioration de la cyber-résilience de certaines entreprises

 

Des réponses aux incidents qui manquent de maturité et de planification

Des résultats finalement mitigés qui s’expliquent probablement par le fait que 80% des entreprises n’ont pas de plans de réponse aux incidents de cybersécurité dignes de ce nom. 24% en ont un mais uniquement partiellement appliqué dans l’entreprise, 31% en ont un mais très informel et 25% n’en ont tout simplement pas ! Par ailleurs, parmi ceux qui ont un plan, seulement 8% en font un test et une évaluation tous les trimestres, 8% deux fois par an et 37% une seule fois par an. 48% des entreprises ayant un plan de réponse aux incidents de cybersécurité n’ont apparemment pas le temps ni les processus pour l’évaluer et le mettre à jour !

Les entreprises françaises en manque de plan de réponse sur incidents…

Pas surprenant dès lors de constater que seulement 29% des entreprises françaises interrogées affirment disposer de manuels (playbooks) pour les différents types d’attaques. Malheureusement, ces playbooks sont apparemment très incomplets. Parmi ces entreprises disposant de playbooks, seules 48% en ont un sur les Ransomwares, 31% en ont un sur les BEC (les fameux Business Email Compromised, ou « fraude au patron ») et 28% en ont un sur les APT.

Les attaques les plus en vogue ne sont pas les mieux documentées

Enfin l’omerta française en matière de cybersécurité persiste. En effet, 62% des responsables français interrogés affirment ne pas partager d’information sur les attaques cyber dont leurs entreprises sont victimes principalement parce qu’ils ne perçoivent pas quels pourraient en être les bénéfices pour leur organisation mais aussi par manque de ressources, de budget et par crainte de voir leur responsabilité engagée ou des éléments confidentiels ou stratégiques dévoilés.