4 entreprises sur 5 ont constaté au moins une cyber-attaque au cours des 12 derniers mois alors que le nombre d’attaques s’est stabilisé alors que cette année la confiance des RSSI dans la cyberdéfense de son entreprise est en baisse de 12 points.

Telles sont deux des conclusions que tirent la 4e édition du baromètre annuel du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) publié à l’occasion du FIC 2019 (Forum Mondial de la Cybersécurité) qui ouvre ses portes aujourd’hui à Lille

Si le nombre des cyber-attaques constatées tend à se stabiliser, huit entreprises sur dix continuent d’être impactées, avec pour 59% d’entre elles des conséquences sur le business (ralentissement ou arrêt de la production, indisponibilité significative du site internet, perte de chiffre d’affaire…) soit 10 points d’augmentation par rapport à l’année dernière.

Le Phishing est le mode d’attaque le plus fréquent, 73% en ont été victimes, étonnamment l’arnaque au Président que l’on croyait en extinction touche encore une entreprise sur deux en 2018. Le Ransomware est au troisième rang avec 44% d’entreprises touchées, suivi par le social engineering (40%).

Le Shadow IT, cette informatique parallèle qui sort de la juridiction de la DSI, est le risque cyber le plus répandu, mentionné par 64% des répondants comme étant une menace à traiter. En effet, l’usage notoire des applications et services cloud le plus souvent gratuits, s’est banalisé et échappe au contrôle de la DSI. Cela accroît significativement les risques, comme les fuites de données via les outils de transfert d’information ou de partage de fichiers volumineux. D’autant que l’utilisation même anecdotique d’un service cloud, peut suffire à compromettre l’intégrité et la sécurité des données de l’entreprise.

Cloud et IoT : des risques accrus avec la transformation numérique

98% des entreprises estiment que la transformation numérique a une incidence sur la sécurité des systèmes d’information des données et accroit considérablement le périmètre des attaques. En tête des enjeux : le recours massif aux services cloud, utilisé par 87% des entreprises, dont 52% dans des clouds publics. Un mode de stockage qui pose des problèmes de non-maîtrise ; que ce soit par rapport à l’accès aux données de l’entreprise par les hébergeurs (via les administrateurs ou autres) ou par rapport à la chaîne de sous-traitance pratiquée par le fournisseur. Pour 89% des RSSI interrogés ces enjeux impliquent le recours à des outils de sécurisation supplémentaires à ceux proposés par le prestataire.

Dans un même temps, les objets connectés se sont progressivement installés dans le paysage et la course à l’innovation ne va pas de pair avec l’implémentation de la sécurité, faisant apparaître de nouvelles typologies de menaces. Les nombreux cas de piratage témoignent d’une progression de la cybercriminalité via les objets connectés. Pour l’IoT, la caractéristique la plus marquante reste les failles de sécurité présentes dans ces équipements devant le flou dans l’appréciation des risques potentiels et l’instauration d’une vraie gouvernance des données.

Face aux cyber-risques, une cyber-résilience à développer

Pour contrer ces cyber-risques, les RSSI déploient une panoplie de solutions techniques, globalement jugées adaptées à leurs besoins (75%), même si des progrès restent à faire dans leur adaptation à la transformation numérique. À noter l’enjeu de l’IA : 56% des répondants ont mis en place des solutions basées sur l’IA ou envisagent de le faire ; toutefois 55% estiment que l’IA ne se substituera pas à l’expertise humaine en matière de sécurité.

Pour autant, les entreprises françaises sont-elles en capacité de défendre leurs infrastructures ? Les RSSI se disent moins confiants que l’année dernière quant à la capacité de leur entreprise à faire face aux cyber-risques. 51% sont confiants, soit une baisse de 12 points ; et moins d’un sur deux considère que son entreprise est préparée à gérer une cyber-attaque de grande ampleur. 50% ont désormais souscrit à une cyber-assurance, soit une hausse de 10 points, mais seule une entreprise sur dix a mis en place un véritable programme de cyber-résilience. Si ce n’est pas en projet pour 21%, c’est une tendance avec 33% en cours et 34% qui l’envisagent.

Trois enjeux pour l’avenir, essentiellement humains

D’après les RSSI, l’enjeu principal pour l’avenir de la cyber-sécurité est celui de la formation et de la sensibilisation des utilisateurs (61%). Les usages des salariés apportent en effet leur lot de risques, notamment via le shadow IT. Et si les salariés sont sensibilisés, ils restent peu impliqués en ne suivant pas forcément les recommandations. Un important travail de pédagogie reste à faire.

La gouvernance de la cyber-sécurité doit également être placée au bon niveau pour 60% des RSSI. Malgré un impact positif de la mise en conformité RGPD sur la gouvernance des entreprises (59%), la confiance en la capacité des COMEX à prendre en compte les enjeux de la cyber-sécurité est très inégale en fonction des secteurs d’activité.

En France comme dans le reste du monde, la pénurie de ressources humaines en cybersécurité est un défi majeur pour les organisations, constatée par 91% des RSSI… À l’heure où 50% d’entre eux prévoient d’augmenter les effectifs alloués à la protection contre les cyber-risques.