D’après le dernier baromètre du CESIN, les RSSI restent préoccupés par les capacités de leur entreprise à répondre aux futures attaques. Même si une majorité de répondants affirme que leurs entreprises sont prêtes à mettre la cybersécurité au centre de sa gouvernance, avec une prise en compte de ses enjeux au sein du COMEX.
Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) vient de rendre les conclusions de la sixième édition de son Baromètre de la cybersécurité des entreprises. À la différence des enquêtes sur la cybersécurité qui comptabilisent et analysent les attaques, l’enquête du CESIN recueille la perception et la réalité vécue par ses membres, directeurs de la cybersécurité et RSSI dans les entreprises.
Dans un contexte de transformation numérique accélérée et pendant une crise sanitaire avec des répercussions sur les modes de travail et l’accroissement du périmètre d’attaque, le regard des professionnels de première ligne de défense cyber révèle que la vulnérabilité des entreprises perdure. Paradoxalement, les répondants ont constaté un peu moins d’attaques en 2020 (57 %) par rapport à 2019 (65 %). Certes, la définition des attaques a été ajustée par le CESIN cette année, mais il y a aussi le fait que les attaques sont devenues plus sophistiquées, dans leur approche technologique et aussi psychologique. L’année du Covid-19 a été la première où l’on a relevé des attaques coordonnées avec approche physique des employés pour les compromettre et les forcer à infecter le SI de leur entreprise.
De nouveaux risques dans le sillage de la pandémie
Pour les répondants, la crise sanitaire a provoqué deux changements majeurs accentuant le risque cyber : la généralisation du télétravail (37 %) et l’augmentation des crises cyber liée aux nouveaux risques (35 %). D’après les RSSI, les usages numériques des salariés présentent de nombreux risques, et plus particulièrement l’utilisation des services cloud non approuvés (84 %) ou encore la gestion non sécuritaire des partages de données à l’initiative des salariés (80 %).
Quant aux vecteurs d’attaque privilégiés par les cybercriminels, ils se répartissent entre l’hameçonnage à 80 % et l’exploitation des failles à 52 %. Sur ce nombre d’attaques, 19 % ont mené au déploiement d’un rançongiciel provoquant le chiffrement de données ou le chantage. Quant au vol effectif de données, il représente 30 % des attaques réussies. Le déni de service a quant à lui représenté 29 % des attaques. Conscientes de la recrudescence de la menace ransomware en 2020, 83 % des entreprises interrogées ont renforcé la sensibilisation des utilisateurs à ce type d’attaques.
Le Shadow IT et le Cloud, sources d’inquiétude
Parmiles principales causes des risques cyber citées, le Shadow IT vient en première place pour 44 % des répondants, suivie par la vulnérabilité résiduelle permanente 36 % et le cyber attaque opportuniste 36 %. Plus de la moitié des entreprises (56 %) estime que le niveau des menaces relatives au cyber espionnage est élevé. Les attaques citées comme ayant un impact sur les affaires sont restées stables (58 %) par rapport à l’année dernière, et 27 % ces attaques entraînent le plus souvent une perturbation de la production.
Outre les risques comportementaux et les vulnérabilités, les répondants insistent sur les risques structurels liés au Cloud. Les RSSI mettent en avant plusieurs risques liés à l’utilisation du Cloud, les plus craints étant la non-maîtrise de la chaîne de sous-traitance de l’hébergeur (51 %), la difficulté de contrôler les accès par des administrateurs de l’hébergeur (45 %) et la non-maîtrise de l’utilisation qui en est faite par les salariés de l’entreprise (44 %). Une majorité de répondants (86 %) estime par ailleurs que les outils fournis par les prestataires de solutions cloud ne permettent pas de sécuriser les données et qu’il est nécessaire d’utiliser des dispositifs et outils spécifiques.
La cybersécurité dans les impératifs de gouvernance
En fin de compte, les inquiétudes du moment font écho à celles sur le futur : une entreprise sur deux est préoccupée par sa capacité à faire face aux risques cyber. Les répondants identifient trois enjeux principaux. Le premier consiste à placer la cybersécurité au centre de la gouvernance pour 60 % d’entre eux. Les répondants se disent d’ailleurs confiants quant à la prise en compte des enjeux de la cybersécurité au sein du Comex(72 %),c’est 8 points de plus par rapport à 2019.
Le second est la formation et la sensibilisation des utilisateurs à la cybersécurité (56 %). Il s’agit d’un processus déjà mis en place puisque la sensibilisation est le premier dispositif à avoir été renforcé par les RSSI face à la vague des cyber attaques (83 %). Enfin, le troisième enjeu est l’allocation de plus de budgets et de ressources à la cybersécurité (46 %). Une faible majorité (57 %) des entreprises compte augmenter les budgets pour la protection contre les cyber risques. En termes de ressources, 52 % des entreprises souhaitent augmenter les effectifs de cybersécurité. L’augmentation du budget passe également par l’acquisition de nouvelles solutions techniques, souhaitées par 85 % des répondants.
À propos de l’étude
L’enquête OpinionWay pour le CESIN a été menée auprès des membres du CESIN. Ils représentent toutes les tailles d’entreprises, avec toutefois une forte proportion de grandes entreprises (55 %), contre 36 % d’ETI et 9 % de TPE/PME. Les sondeurs ont interrogé 704 membres de l’association, et les résultats de l’étudeportent sur un échantillon de 228 répondants. L’échantillon a été interrogé en ligne sous système CAWI (Computer Assisted Web Interview). Les interviews ont été réalisées entre le 7 décembre 2020 et le 11 janvier 2021.