Le CESIN, le Club des Experts de la Sécurité de l'Information et du Numérique, a dévoilé les résultats de la 3ème édition de son baromètre annuel. L’occasion de faire le point sur quatre grandes thématiques : l’évolution des cyberattaques ; l’efficacité des solutions techniques ; les perspectives pour l’avenir avec les enjeux de la transformation numérique ; et le RGPD avec son impact sur la gouvernance cyber dans les entreprises.

Fort de ses 343 membres issus des grandes entreprises françaises – vous pouvez retrouver une partie des membres du CESIN interviewés dans le cadre de nos vidéos (voir ici) -, le CESIN est devenu en quelques années un membre incontournable de la communauté des RSSI et des responsables de la sécurité dans les grandes organisations françaises.

Le CESIN publie ce jour les résultats de la troisième enquête indépendante et exclusive menée auprès de ses membres par OpinionWay. Elle met à jour la perception et la réalité de la cybersécurité dans les grands groupes français, avec de nouvelles données sur l’impact de la transformation numérique des entreprises.

1 - Les cyberattaques progressent encore dans la hiérarchie des préoccupations des entreprises

  • 92% des entreprises sondées affirment avoir été attaquées une ou plusieurs fois

Depuis un an, elles sont une sur deux à constater une augmentation de 48% du nombre d’attaques et, pour le quart d’entre elles, des impacts sur le business ont été ressentis : arrêt de la production, indisponibilité significative du site internet, perte de chiffre d’affaire...

CESIN-2018-1

Pour autant, si 48% des entreprises membres du CESIN considèrent que le nombre d’attaques a augmenté, elles sont 45% à penser qu’il reste stable, et plus surprenant 7% considèrent qu’il a diminué !

  • 73% des entreprises ont fait face à une ou plusieurs demandes de rançons

C’est le ransomware qui, cette année encore, demeure l’attaque cyber la plus fréquente. Les entreprises françaises ont subi :

CESIN-2018-2

En hausse, plus d’une entreprise sur deux est touchée par le social engineering et les vulnérabilités résiduelles permanentes.

CESIN-2018-3

A noter que les attaques WannaCry et NotPetya ne sont pas citées dans l’étude car, si ces attaques ont en effet généré énormément d’activités de prévention pour l’ensemble des RSSI, très peu d’entreprises membres du CESIN ont été effectivement touchées. En revanche, lorsqu’elles l’ont été, ce fut avec des conséquences importantes pour le business ou l’image.

2 - Face aux cyber-risques, le nombre de solutions techniques déployées reste élevé

  • 11,3 le nombre moyen de solutions techniques déployées

CESIN-2018-4

Globalement, les solutions de protection disponibles sur le marché sont jugées de plus en plus efficaces, et cela tend encore à augmenter. Mais ces mêmes solutions restent perfectibles et ne sont toutefois pas totalement adaptées :

  • 22% des cas aux besoins de l’entreprise ;
  • 34% des cas à la fréquence actuelle des attaques.

CESIN-2018-5

  • 77% des grandes entreprise ont ou vont souscrire aux cyber-assurances

Au-delà des antivirus, tunnels VPN, mécanismes de filtrage web et solutions antiSPAM, on note une forte montée des souscriptions aux cyber-assurances, (+14 points cette année),

  • 40% des grandes entreprise ont déjà souscrit aux cyber-assurances ;
  • 15% sont en cours ;
  • 22% l’envisagent.

Ces tendances devront être analysées de manière plus poussée, mais les attaques précédemment citées, ainsi que les conséquences de potentielles non-conformités au GDPR ne sont sans doute pas étrangères au phénomène de la souscription aux cyber-ssurances.

Par ailleurs, l’entité jugée la plus légitime pour conseiller les entreprises sur la gestion des cyber-risques est l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), ce qui est le résultat de l’engagement de l’agence vers les secteurs hors OIV ou administrations depuis plusieurs années.

CESIN-2018-6

3 - Dans ce contexte, la transformation numérique apporte elle aussi son lot de risques

  • 99% des RSSI estiment que la transformation numérique a un impact sur la sécurité des SI et des données.

Gestion des données

La transformation numérique influence le niveau d’exposition au risque dans le cadre de la gestion des données.

Cloud computing

Pour le Cloud - déjà très répandu dans les entreprises puisque 87% d’entre elles y stockent des données notamment sous sa forme hybride public/privé - la problématique de la confidentialité des données représente l’enjeu principal en matière de cybersécurité. 94% estiment que la sécurisation des données hébergées dans le Cloud nécessite des outils spécifiques.

CESIN-2018-7

Shadow IT

Les pratiques des salariés mettent aussi à mal la cybersécurité, notamment le Shadow IT.

Equipements mobiles

L’utilisation de terminaux multiples et l’usage personnel de ces derniers fournis par l’entreprise augmentent également significativement les risques.

IoT (Internet des Objets)

Concernant l’internet des objets, les failles de sécurité de l’IoT sont le premier défi à relever en entreprise.

CESIN-2018-8

Sensibiliser les utilisateurs

73% des RSSI pensent que les salariés sont plutôt bien sensibilisés aux risques, mais peu proactifs : 62% des entreprises ont donc mis en place des procédures de vérification du respect des recommandations par les salariés.

4 - La nouvelle réglementation relative à la protection des données personnelles complique la gestion des risques

  • 89% des RSSI doivent affronter des hausses de budget et de charge pour supporter le RFPD

Le RGPD grève les budgets avec un coût supplémentaire, il ajoute également une charge de travail. Les RSSI cumulent parfois la fonction de DPO, qui a priori ne s’avère pas incompatible avec le rôle de RSSI. Plus préoccupant, la majorité des entreprises sondées déclarent ne pas avoir achevé leurs chantiers de mise en conformité avec le RGPD et ne sont pas sûres de pouvoir les finaliser pour la date butoir du 25 mai 2018.

  • 83% des entreprises considèrent le RGPD comme un moyen de renforcer la protection des données

Malgré ces préoccupations, le RGPD est bien perçu par les entreprises, qui le considèrent comme un moyen de renforcer la protection des données. A ce titre, le processus de mise en conformité au RGPD a entraîné une évolution de la gouvernance des données.

La mise en conformité a déjà permis de refonder la gouvernance de la cybersécurité dans une entreprise sur deux.

  • 71% sont confiantes sur la prise en compte des enjeux de la cybersécurité par le COMEX ;
  • 63% pensent que leur entreprise à la capacité à faire face aux cyber-risques ;
  • 81% déclarent vouloir acquérir de nouvelles solutions techniques ;
  • 64% envisagent d’augmenter les budgets alloués à la protection ;
  • 62% projettent d’accroître les effectifs liés.
  • 39% des RSSI estiment que la fonction DPO peut être assurée par un RSSI

Ces investissements font écho à la faible part du budget IT actuellement consacré à la sécurité, soit moins de 5 % pour 31 % des entreprises. D’autre part, pour 52% des RSSI, la démarche de conformité au RGPD a déjà modifié la gouvernance de l’entreprise en matière de protection de l’information.

Nous reviendrons prochainement sur cette étude, avec les commentaires de membres du CESIN.