Cybersécurité : pourquoi un grand nombre d’entreprises françaises restent-elles si vulnérables ?
Idées & initiatives
Du fait de la médiatisation des cyberattaques, la maturité cyber des entreprises françaises progresse. Les moyens humains et financiers mis en œuvre restent néanmoins en deçà du niveau de la menace.
Cybersécurité au sein des entreprises françaises : un niveau de protection qui reste insuffisant
Bonne nouvelle, année après année, le niveau de maturité cyber des entreprises françaises augmente. Selon la dernière édition du benchmark du cabinet de conseil Wavestone, ce taux de maturité atteint 49 %, soit une progression de trois points en un an.
*Ce taux de maturité est mesuré par rapport aux référentiels internationaux NIST CSF et ISO 27001/2. Les données sont issues d’évaluations individuelles d’une centaine d’organisations de plus de 10 000 employés.
Le NIST Cybersecurity Framework (NIST CSF) est un framework de cybersécurité publié par le National Institute of Standards and Technology pour faciliter la gestion des risques cyber dans les organisations. L’ISO 27001/2 est une norme internationale de sécurité des systèmes d’information.
Ce chiffre masque cependant une grande hétérogénéité en fonction des secteurs d’activité. Sans surprise, le monde de la finance, particulièrement réglementé, atteint le score le plus élevé (59,2 %, +4,8 points). A l’autre bout du spectre, on trouve le secteur public (36,1 %, -0,9 point).
Disposant de peu de ressources financières et humaines et maniant des données sensibles, les établissements de santé et les collectivités locales et territoriales sont particulièrement exposés. Parmi les cas de cyberattaques les plus récents, on peut citer les centres hospitaliers de Versailles et de Corbeil-Essonnes, les mairies de Brunoy et de Chaville ou les conseils départementaux de Seine-et-Marne et des Alpes-Maritimes. Tous ces acteurs publics ont été hackés par des gangs de ransomware et ont vus leur activité partiellement ou totalement paralysée
Entre ces deux extrêmes, l’industrie (49,4 %, +4,6 points) fait d’importants efforts pour rattraper son retard. La cybersécurité a longtemps été le parent pauvre de ce secteur alors que la convergence entre les infrastructures IT et les réseaux opérationnels (OT) augmente sa surface d’expositions aux risques.
Les entreprises soumises aux réglementations sur la sécurité des infrastructures critiques (directive NIS, loi de programmation militaire), comme les OSE (Opérateurs de services essentiels), et les OIV (Opérateurs d’importance vitale), se montrent logiquement plus matures (56,1% versus 46,4%).
Un expert cyber pour 1 300 employés
Selon le benchmark de Wavestone, 23% des grandes organisations évaluées restent très fragiles aux risques d’attaque par ransomware, contre 30% l’an dernier. L’effet de taille joue. Les grands comptes du CAC40 ou FTSE100 sont des cibles moins faciles, avec un niveau de maturité proche des 60%.
Les ressources dégagées pèsent aussi sur la balance. On compte environ une personne dédiée à la cybersécurité pour 1300 employés. Un chiffre déjà très bas, mais qui, là encore, cache des disparités sectorielles. Le ratio n’est que de 1 sur 358 dans la finance, mais de 1 sur 2 996 dans les services publics.
Un effet de rattrapage se note toutefois au niveau budgétaire. Alors que la part dédiée à la sécurité dans le budget informatique culmine, en moyenne, à 5,6 %, les services publics (6,6%), l’industrie (6%) ainsi que le luxe et la distribution (6%) dépassent ce seuil.
Une stratégie zero trust encore faiblement déployée
L’étude montre, par ailleurs, de nombreux trous dans la raquette. Hors du secteur de la finance, seules 40 % des entreprises améliorent continuellement leurs cyber réponses en matière gestion des incidents, 11 % auditent régulièrement leurs fournisseurs et 9 % testent les scénarios de leur plan de continuité d’activité (PCA) au moins tous les deux ans.
La stratégie zero trust est encore faiblement déployée avec seulement 24% des organisations ayant mis en place une micro-segmentation automatique de leur SI.
Dans le domaine du cloud, on parle encore de 38 % des entreprises qui se reposent uniquement sur les alertes de leur provider (contre 42 % en 2022) et 14% des organisations ont mis en place une authentification multi-facteurs ou un bastion (rebond intermédiaire) pour l’accès à la console d’administration.
La cyber, un enjeu de souveraineté
Avec cet accroissement de la menace, la souveraineté dans le monde cyber est devenu un enjeu clé. Selon le dernier baromètre annuel du Club des experts de la sécurité de l’information et du numérique (Cesin), six entreprises sur dix se disent préoccupées par les sujets de souveraineté et de cloud de confiance. L’attente est forte autour d’un rééquilibrage des forces et le développement de solutions dites de confiance en France et en Europe.
De fait, les fournisseurs spécialisés dans la cybersécurité sont majoritairement anglo-saxons et israéliens. Du côté du cloud, les trois hyperscalers américains – AWS, Microsoft Azure, Google Cloud – accaparent les trois-quarts du marché français.
Au-delà de la doctrine de l’Etat dans le domaine et la récente inauguration du Campus Cyber à La Défense, de plus en plus de fournisseurs (antivirus, pare-feu, EDR…) mettent en avant le label « made in France » tandis que de nombreux prestataires de service cloud tentent d’être certifiés SecNumCloud par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
La sensibilisation des utilisateurs
Pour le Cesin, la culture cyber n’est toujours pas suffisamment ancrée dans les organisations. Seuls deux tiers des utilisateurs respectent les recommandations émises en interne alors que la négligence et les erreurs de manipulation constituent la principale cause d’incidents (38 %).
De nouvelles approches plus engageantes pour sensibiliser les collaborateurs sont apparues ces dernières années. Des éditeurs comme Conscio Technologies ou Mailinblack proposent de simuler des cyberattaques ultra réalistes. Ils procèdent à l’envoi régulier de campagnes de faux e-mails permettant d’identifier les employés « à risque ».
Le chiffrement en mode natif
Dans le jeu du chat et de la souris que se livrent en permanence les cybercriminels et les experts en cybersécurité, ces derniers ne doivent pas oublier une dernière arme à leur disposition : le chiffrement.
A la différence de la protection active, efficace, mais complexe à mettre en place, la protection passive repose sur des choix du design de l’architecture du SI, en mode natif. A cet égard, le chiffrement des données peut s’appliquer dès la création d’un fichier, de manière transparente pour l’utilisateur, sans délai ni perte de temps.
”By design”, la cybersécurité doit être systématiquement prise en compte dès le début d’un projet.