Le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN) a présenté les résultats de sa septième grande enquête OpinionWay. Sans surprise, elle montre que les cyberattaques ont un impact fort sur les organisations. Mais celles-ci semblent mieux armées qu’auparavant pour y résister.
En 2021, plus d’une entreprise sur deux a déclaré avoir subi entre une et trois attaques cyber au cours de l’année. Ce chiffre tient compte uniquement des attaques réussies, ayant eu des répercussions flagrantes pour les victimes.
C’est le principal chiffre de cette étude reposant sur les réponses de 282 de ses membres, Directeurs Cybersécurité et Responsables Sécurité des Systèmes d'Information (RSSI) des entreprises françaises.
Et ces cyberattaques n’ont rien d’anecdotique. Leur ampleur et leur virulence ne cessent d’augmenter. En effet, 6 entreprises sur 10 ont connu un impact sur leur business, avec pour principaux retentissements une perturbation de la production (21 %), et/ou une compromission d’information (14 %), et/ou une indisponibilité du site web pendant une période significative.
C’est bien connu, c’est dans les vieux pots que l’on fait les meilleures soupes ! Et ce dicton s’applique aussi aux techniques employées par les attaquants. Année après année, le phishing reste le vecteur d’attaque le plus fréquent et le plus subi, selon 73 % des entreprises.
Les autres moyens de transmission sont, l’exploitation des failles (53 %), et en augmentation, l’attaque par rebond via un prestataire (21 %). Ce dernier axe s’est illustré ces derniers mois par des incidents retentissants comme le piratage de SolarWinds ou encore la faille d’Apache, Log4J.
Les attaques par ransomware font de plus en plus souvent la Une des médias. Tous les secteurs sont concernés. Selon cette enquête, une entreprise sur cinq parmi les répondants en a été victime.
Résultat, les entreprises multiplient donc les solutions et dispositifs pour mieux se défendre et surtout anticiper les menaces. Cette étude note ainsi une augmentation des campagnes de sensibilisation auprès des utilisateurs, le déploiement d’EDR (+16 points) et le durcissement de l’AD (+9 points).
Par ailleurs, 4 entreprises sur 10 ont recours à des programmes d’entrainement à la crise cyber, et 47 % déclarent que c’est en projet.
De surcroît, les entreprises ont dû revoir massivement leurs dispositifs de sécurité dans le contexte de crise sanitaire et d’intensification du télétravail. 63 % d’entre elles ont généralisé le recours à l’authentification multifacteurs (MFA) et 70 % ont mené des campagnes de sensibilisation liées aux risques de ce nouveau mode de travail pour beaucoup de salariés.
Présentée comme une solution pour renforcer sa résilience et atténuer les impacts d’une cyberattaque, la cyberassurance voit son intérêt amoindri. Après plusieurs années d’engouement, 69 % des répondants affirment avoir souscrit une cyberassurance. Les premiers bilans révèlent un moindre taux de satisfaction pour ceux qui en ont eu recours. D’autre part, la majorité des entreprises ont un avis négatif sur l’usage des services d’agences de notation.
Lors de récentes réunions des membres du CESIN, nombre d’entreprises se sont déclarées hésitantes à un renouvellement de leur contrat, ce qui pose question sur l’avenir de ce marché. Le CESIN note globalement une hausse exponentielle des tarifs, pour une baisse des couvertures et des niveaux d’exigences de la part des assureurs, quasiment inatteignables. Un secteur qui accumule d’ailleurs des pertes.
Cloud : difficile à sécuriser
L’intégration du télétravail montre que le périmètre à surveiller ne cesse d’augmenter. Et c’est encore plus le cas avec la migration grandissante vers le cloud. Les RSSI doivent faire face à des dizaines de sujets qu’ils n’avaient pas à traiter avec des solutions sur site.
Les principaux facteurs de risques induits par l’adoption du Cloud concernent la non-maîtrise de la chaîne de sous-traitance de l’hébergeur pour 48 % des répondants, et des difficultés de contrôle d’accès déclarées par 43 %.
En outre, 40 % indiquent des risques liés à la rareté de l’expertise parmi les architectes et les administrateurs, et une mauvaise visibilité de l’inventaire des ressources dans le cloud pour 38 %.
Huit RSSI sur dix estiment encore que la sécurisation des données stockées dans le cloud requiert des outils spécifiques, et dans la plupart des cas (63 %) il est nécessaire d’utiliser d’autres dispositifs que ceux proposés par le fournisseur de cloud.
La menace du cyberespionnage
Cette volonté de ne pas être pieds et poings liés avec un provider s’exprime également par la préoccupation de six organisations sur dix pour les sujets de souveraineté et de cloud de confiance. Ce qui suppose une attente forte autour des perspectives de potentiel rééquilibrage des forces avec le développement des solutions dites de confiance annoncées en France et en Europe.
Ces questions de souveraineté ont également incité les auteurs de ce baromètre à évoquer - pour la première fois -les problématiques liées au cyberespionnage. Plus d’une entreprise sur deux considère que le niveau de menaces en matière de cyberespionnage est élevé (55 %).
Un score édifiant qui corrobore de nombreux rapports et les observations de l’ANSSI. Des cybercriminels louent même leurs compétences de pointe en cyberespionnage aux entreprises et aux États !
Enfin, les budgets alloués à la cybersécurité sont encore en hausse cette année. 70 % des entreprises confirment cette tendance, contre 57 % en 2020. Elles sont 56 % à vouloir allouer plus de ressources humaines à leur organisation. 84 % vont acquérir de nouvelles solutions techniques, tandis que 62 % d’entre elles ont recours aux offres innovantes issues de start-up.