Près de 90 % des entreprises considèrent que le risque cyber a augmenté ces deux dernières années. Pour limiter les risques, plus d’une entreprise sur 2 va augmenter ses investissements dédiés à la sensibilisation des collaborateurs.
L’humain, toujours l’humain. C’est devenu une banalité de le dire, mais la principale faille reste entre le clavier et le fauteuil de bureau. Au cœur des préoccupations des entreprises, la cybersécurité est devenue en quelques mois un sujet clé, notamment dans un contexte de généralisation du travail à distance et de multiplication des attaques.
Spécialisé dans la transformation numérique, le cabinet de conseil mc2i a demandé à IDC de mener l’enquête sur ce fameux maillon faible. Parmi les failles identifiées, c’est justement le comportement des collaborateurs qui inquiète le plus les responsables de la sécurité IT.
Manque de maturité en matière de gouvernance
Une réalité exacerbée dans un contexte post Covid puisque 2/3 des organisations jugent que le travail hybride entraîne une hausse des cybermenaces (connexions internet vulnérables, hotspots wifi publics...).
Résultat, une majorité d’entreprises veut faire revenir les collaborateurs au bureau en 2022 pour diverses raisons et notamment à propos de la gestion des accès distants devenue problématique.
Alors que seules 43 % des entreprises ont plus de 3/4 de leurs salariés sensibilisés à la cybersécurité, elles sont 55 % à vouloir augmenter leurs dépenses en sensibilisation des salariés, considérée comme une priorité pour les 2 prochaines années par 64 % des répondants.
De façon plus globale, cette étude révèle que les entreprises françaises sont encore peu mâtures en matière de gouvernance et de gestion du risque cyber. En effet, plus de 3 ans après l’entrée en vigueur du RGPD, seules 4 entreprises sur 10 ont mis en place une entité chargée de la gouvernance des données.
Seules 5 % d’entre elles considèrent qu’elles ont une très bonne capacité à adapter leur politique de conformité en fonction de la sensibilité de ces données. En matière de détection et de gestion des cyberattaques, le constat est également préoccupant : 40 % des répondants n’ont pas encore de politique de détection des cyberattaques et 38 % n’ont pas de process pour y répondre en cas de survenance.
Etre accompagné
Pourtant, elles sont conscientes que le risque d’attaque cyber a augmenté depuis 2 ans. Elles considèrent dans une large majorité que l’augmentation du risque entraîne des conséquences directes sur les dépenses en cybersécurité.
En effet, 70 % des répondants ont augmenté leurs dépenses de cybersécurité en 2021. Une accélération notable, puisqu’elles n’étaient que 45 % à les avoir augmentées en 2020.
Cette tendance va se poursuivre en 2022 puisque selon les estimations, les dépenses consacrées à la sécurité IT atteindront 4,7 Md d’euros cette année (contre 4,3 Md en 2021).
Mais investir pour investir ne suffit pas à assurer un bon niveau de sécurité. Encore faut-il être (bien) accompagné. Résultat, près de la moitié des entreprises prévoient d’avoir recours à une prestation de conseil ou d’audit afin de se faire accompagner.
La cyber assurance représente-t-elle une option intéressante ? Pas vraiment. Alors que 41 % des organisations ont déjà une police d’assurance associée à la gestion des cyber risques, près d’un tiers des répondants (26 %) ne trouve pas de contrat adapté à ses besoins.
La multiplication de clauses particulières (48 %) et les prix trop élevés par rapport aux risques encourus (42 %) sont les premiers freins évoqués par les entreprises.
