L’analyse de SecurityScorecard, acteur de référence de l’évaluation et de la résilience en cybersécurité des entreprises, brosse un tableau édifiant du niveau de sécurité des 100 plus grandes entreprises françaises par capitalisation boursière. La grille d’analyse repose sur plusieurs facteurs, notamment la sécurité de leur réseau, les risques d'infections par des logiciels malveillants, la sécurité aux points d’entrée, la fréquence des correctifs, la sécurité des applications et l'intégrité du DNS (système de noms de domaine). Les notes attribuées vont de A à F. Sachant que le coût moyen d’une violation de données s’élève à 4,2 millions d'euros selon le rapport de cybersécurité d’IBM de 2023, les dirigeants et directeurs financiers devraient lire attentivement cette étude sur les risques liés à la
Supply Chain.
Les scores de SecurityScorecard montrent que les entreprises ayant obtenu un F ont
13,8 fois plus de risques de subir une violation de données que les entreprises notées A. Les bons élèves en termes de sécurité, soit les 91 % d’entreprises françaises notées A, n'ont pas été victimes d’une violation au cours des douze derniers mois.
Les entreprises de services sont les plus exposées
Les principales conclusions du rapport d’analyse dressent un portrait en temps réel des risques sur la supply chain (chaine d’approvisionnement). Les deux informations les plus saillantes indiquent d’une part que 98 % des grandes entreprises sont en relation avec un fournisseur ayant subi une violation de données. D’autre part, la totalité d’entre elles sont en relation avec une quatrième partie ayant aussi subi une violation de données. A noter, les 40 % des grandes organisations qui ont obtenu un C ou une note inférieure ce qui indique une grande marge de progression, un euphémisme. Globalement, 7 % des entités ont été victimes d’une violation de données au cours des douze derniers mois.Dans ce bilan mitigé, les entreprises du secteur des services sont les moins bien notées,
79 % obtiennent une note globale C ou inférieure. L’énergie est le secteur le plus robuste sur le plan de la sécurité en France avec seulement 29 % des entreprises ayant obtenu un C ou une note inférieure. Noter cependant que 14 % d’entre elles ont été victimes d’une violation de données les affectant, hors chaines d’approvisionnement.
Le graphique ci-dessous fourni un intéressant état des lieux sur la cybersécurité, ventilé par secteurs d’activité.
Noter que 40 % des entreprises étudiées dans ce rapport représentent des secteurs stratégiques : énergie, télécommunications, transports, industrie et santé. C’est dire l’importance de les protéger efficacement, à l’heure où l’on note une recrudescence des attaques liées aux conflits existants.
L’UE n’est jamais en retard pour encadrer tous les aspects de l’utilisation et les impacts du numérique. Le règlement européen sur la résilience opérationnelle numérique (DORA) devrait renforcer la cyber résilience et la robustesse des chaînes d’approvisionnement des grandes entreprises, banques, investisseurs, assureurs, etc. En bref, là ou est l’argent.