Le rapport annuel du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) confirme d’autres indicateurs fiables sur la stabilité des attaques. Il s’agit des enquêtes des cyberassureurs comme celle de Howden au plan international ou celle de l’Amrae en France, indiquant tous les deux une baisse des sinistres.
En 2024, 47 % des entreprises interrogées déclarent avoir subi au moins une cyberattaque notable. Un nombre stable par rapport à 2023, témoin d’une maturité croissante des organisations, malgré une menace toujours présente. Pour rappel, cette stagnation fait suite à une baisse progressive entre 2019 et 2022 (de 65 % à 45 %).
L’impact des attaques s’intensifie
Le phishing reste la menace dominante avec 60 % des attaques, comme en 2023. Le trio des menaces est complété par l’exploitation de failles (47 %) et les dénis de service DDoS (41 %). Noter toutefois que l’impact des attaques s’accroit, avec en tête le vol de données en nette augmentation (+11 points) représentant 42 % des incidents, soit la principale conséquence. L’impact significatif sur les activités commerciales s’établit à 65 %, avec une perturbation de la production dans 23 % des cas.Les deepfakes plus crédibles et les menaces par ransomwares en baisse
L’IA générative affine les cybermenaces telles l’arnaque au Président, une des méthodes d’extorsion favorites des cybercriminels et qui reste toujours présente. Conséquence, le deepfake figure pour la première fois dans le baromètre, représentant déjà 9 % des vecteurs d’attaques. Cette modeste proportion n’est pas faite pour rassurer, car la manipulation de la voix et de l’image devient de plus en plus réaliste. Cette évolution devrait se poursuivre et les organisations ne doivent pas baisser la garde.En revanche, le chiffrement par ransomware, autrefois très actif, connait une baisse notable de 9 points. Autre menace sérieuse, le cyberespionnage préoccupe 37 % des entreprises, considérant ce risque comme élevé. Un chiffre stable cependant par rapport
à l’année dernière.
L’EDR et le MFA en tête des solutions de cybersécurité
Comme en 2023, les entreprises associent les solutions EDR (95 % d’efficacité perçue, en augmentation de 5 points) à l’authentification multifacteur (MFA). Les postures récentes telles que le Zero Trust et le VOC (Vulnerability Operation Center) poursuivent leur progression, atteignant respectivement 31 % (+7 points) et 26 % (+9 points).Une meilleure visibilité des ressources sur le cloud
Du côté des environnements Cloud, la mauvaise connaissance de l'inventaire des ressources dans les clouds publics diminue de 7 points en 2024. Une baisse à mettre au crédit de l’adoption croissante de solutions EASM et CAASM permettant une cartographie plus précise des ressources.Seules 35 % des organisations introduisent l’IA dans leur stratégie de cybersécurité
L’intelligence artificielle est utilisée par 69 % des entreprises contre 46 % en 2023 (+23 points). Reste à détailler l’usage précis de ces outils dont l’adoption est fortement poussée par l’IA Génerative. Le Cesin constate cependant que seulement 35 % des équipes de sécurité l’ont incluse dans leurs méthodes.Prés d’une entreprise sur trois signalent des mauvaises pratiques liées au tiers
L’écosystème numérique d’une organisation est constitué par les partenaires et les fournisseurs. Les incidents liés aux tiers sont par conséquent une préoccupation majeure. Dans le baromètre, 28 % des entreprises signalent leurs mauvaises pratiques. Pour y faire face, 85 % d’entre elles intègrent des clauses de sécurité dans leurs contrats. Une tendance qui s’inscrit dans la continuité.Une stabilité des moyens accordés à la cybersécurité
Les priorités sur la gouvernance, les budgets et la formation sont en évolution. Les budgets dédiés à la cybersécurité étaient encore stables en 2024, mais les intentions d’augmenter les effectifs (- 13 points) et les solutions techniques (-15 points) diminuent sensiblement. Peut-être une conséquence du climat économique morose. La sensibilisation des collaborateurs reste la clé de voûte pour la prévention du risque cyber puisque 85 % des utilisateurs sont formés, un chiffre qui reste stable.Réglementation : sept entreprises sur dix impactées
En 2023, 70 % des entreprises déclaraient être impactées par au moins une réglementation majeure, telles que NIS 2, DORA ou Cyberscore. Un chiffre qui progresse de 9 points en 2024, avec 52 % des organisations indiquant un impact fort. La directive NIS2 reste la réglementation la plus citée, touchant 74 % des entreprises interrogées.Pour conclure, le CESIN rappelle que porter plainte après une attaque réussie demeure indispensable pour lutter contre la cybercriminalité. C’est le cas de 62 % des entreprises durant l’année précédente.
