Si les entreprises du CAC 40 avancent à grands pas vers la maturité en matière de prévention des cyber-risques, sur plusieurs points, comme le RGPD ou les projets d’innovation, elles sont encore en retrait par rapport aux grandes entreprises mondiales.
Basé sur l’étude des documents de référence publiés au 01/06/2018 par les entreprises françaises du CAC 40, le rapport de Wavestone sur la prévention des cyber-risques offre un bilan certes encourageant, mais également mitigé sur bien des points.
Un sans faute… sur l’intention
Au premier abord, le bilan est plutôt positif, toutes les entreprises du CAC 40 font mention dans leurs rapports d’activité des enjeux de la sécurité du système d’information. Un 100 % qui démontre une élévation de la maturité sur les cyber-risques, en 2010 elles n’étaient que 73 %.
Les initiatives de plans d’actions de couverture du risque viennent confirmer cette tendance, 88 % des entreprises les mentionnent, elles n’étaient que 45 % en 2010.
Une prise de conscience… dans les textes
Pour autant, la prudence reste de mise. Le rapport de Wavestone repose sur l’expression de 14 critères, pondérés et notés, détectés dans les rapports d’activité des grandes entreprises. Et l’évocation d’un sujet ne signifie pas qu’il est actif et en production, il peut également s’agir d’une intention.
Ainsi, seules 58 % des entreprises françaises mentionnent le RGPD et les données personnelles dans leur rapport. Un chiffre bien bas qui ne peut que faire baisser la valeur d’index de nos entreprises !
Autre constat, sur les investissements dans la sécurité des entreprises du CAC 40 :
- 12,5 % seulement mentionnent des programmes de sécurité impliquant des investissements conséquents ;
- 75,0 % consentent des investissements sur des plans d’actions unitaires ;
- 12,5 % ne mentionnent aucun investissement spécifique sur le risque cyber.
L’innovation fait l’impasse sur la cybersécurité
Ce dernier point est inquiétant… La transformation numérique passe par l’émergence de nouvelles technologies innovantes, qui sont autant de projets que lancent les grandes organisations. Citons l’IA, la Blockchain et l’IoT. Pour autant, dans ces domaines 20 % seulement des entreprises du CAC 40 font référence à des chantiers en lien avec la cybersécurité.
Certes, les entreprises travaillent sur les cyber-risques et la cybersécurité sans qu’elles aient l’obligation de le citer dans leurs documents de référence. Cependant, les agences de notations financières intègrent ces informations dans leurs critères. Nous pouvons donc légitimement penser que s’ils ne sont pas évoqués, c’est qu’ils ne sont pas une priorité.
C’est une erreur stratégique, on ne peut aujourd’hui évoquer le numérique, l’informatique et la transformation des organisations sans évoquer les cyber-risques et la stratégie des entreprises pour s’en protéger. Nos entreprises du CAC 40 évoluent certes vers la maturité, mais elles ont encore du chemin à parcourir avant de rejoindre leurs homologues internationales. Encore un retard à la française ?
Source : « Wavestone Annual Report Cyber maturity Index »
Image d’entête 628407878 @ iStock IconicBestiary