Stratégie

Cybersécurité : les RSSI doivent muscler leurs capacités à éteindre les incendies

Les RSSI affichent leur confiance dans les dispositifs de protection et détection qu’ils ont déployés. Il leur faut désormais investir dans leurs capacités de réaction aux crises et de reconstruction des SI après une attaque. (Photo : Shutterbean/Pixabay)

Face à une menace qui ne faiblit pas, les RSSI ont commencé par investir sur la prévention, la protection et la détection. Mais, alors qu'une organisation sur deux a connu des perturbations en 2023 en raison d'une attaque, c'est désormais la réaction aux crises qu'il faut renforcer.

PublicitéDes entreprises mieux armées, face à des menaces qui continuent à monter en puissance. C'est en somme le bilan que dresse le 9e baromètre de la cybersécurité des entreprises, mené par Opinionway pour le Cesin, le Club des experts de la sécurité de l'information et du numérique. Basée sur les réponses de 456 membres de l'association (48% étant des grandes entreprises et 40% des ETI), l'enquête confirme l'effort constant que consentent les organisations françaises pour se protéger des cybermenaces : 45% d'entre elles consacrent 5% ou plus de leur budget IT à la cybersécurité, soit la même proportion qu'un an plus tôt.

Les RSSI interrogés s'estiment plutôt bien ou très bien protégés en particulier dans les phases amont : 76% d'entre eux affirment ainsi que leur organisation a mis en oeuvre les moyens de prévention et de protection adéquats et une proportion similaire juge les moyens de détection déployés satisfaisants. En la matière, parmi les solutions jugées très efficaces, 61% des répondants mettent en avant l'authentification multifacteurs (MFA), soit 8 points de mieux qu'il y a un an, et 54% les systèmes de détection et réponse pour endpoints (EDR), un bond de 9 points en un an. Au sein du panel interrogé, seulement 5% des entreprises n'ont pas encore déployé ces solutions.

L'entraînement aux crises gagne du terrain

En parallèle de ces deux outils clefs dans la modernisation de leurs pratiques, les DSI adoptent peu à peu les nouvelles postures de cybersécurité, comme le zéro trust, qui implique de ne faire confiance a priori à aucune activité sur le réseau. Le concept est en place dans une entreprise ou administration sur quatre et en projet dans 51% supplémentaires. Le déploiement d'un centre opérationnel de gestion des vulnérabilités (VOC, pour Vulnerability operation center) est effectif ou en projet dans une entreprise sur deux. Et 45% des organisations ont déployé ou - le plus souvent - entamé le déploiement du Sase (Secure Access Service Edge), un concept adaptant la cybersécurité aux architectures hybrides incluant le cloud.

Seuls 8% des RSSI s'estiment très bien préparés à réagir à une crise cyber et à reconstruire le SI après une cyberattaque.

Si les RSSI se montrent confiants sur leur niveau de préparation et de protection, ils le sont un peu moins sur leurs capacités de réaction à une cyberattaque (61% s'estiment plutôt ou tout à fait bien préparés) et de reconstruction du SI après une attaque (51%). Si la part des entreprises qui pratiquent régulièrement des exercices d'entraînement aux crises cyber est en nette progression (à 28%, elle gagne 9 points en un an), la plupart des dispositifs qu'elles ont choisi de renforcer en 2023 concernent toujours et encore les phases amont, soit la prévention, la protection et la détection. Le Cesin estime toutefois que l'entrée en vigueur de Dora et, surtout, de NIS2 va accélérer les investissements des organisations sur leurs capacités de réaction et de reconstruction à une cyberattaque. Même si des interrogations subsistent quant au périmètre de NIS2, 58% des membres du club se disent concernés par l'entrée en vigueur de la réglementation européenne.

PublicitéDDoS : le retour de la menace

La préparation à la crise est d'autant plus importante que, malgré le renforcement des défenses, les cyberattaques ne faiblissent pas. 49% des entreprises ont subi une attaque avec un impact significatif sur leur activité en 2023, un niveau bien moindre que ceux constatés entre 2019 et 2021, mais supérieur à celui de 2022. Deux tiers des RSSI sondés jugent que le nombre de cyberattaques est resté stable sur un an.

Notons tout de même que les attaques DDoS ont significativement progressé en un an (+11 points). Une organisation sur trois en a essuyé au moins une qu'elle n'est pas parvenue à contrer totalement. Conséquence : 22% des répondants indiquent que leur administration ou entreprise a connu une indisponibilité significative de son site web en 2023, là encore une nette progression par rapport à l'an dernier.

En complément :
- NIS2 : extension du domaine réglementé dans la cybersécurité

Shadow IT : risque n°1

Bien sûr, les attaques opportunistes (ciblant autant d'organisations que possible) restent la première cause des incidents de sécurité. Mais, selon les membres du Cesin, le shadow IT arrive juste derrière. Plus d'un RSSI sur trois indique que ce phénomène fait partie des causes des difficultés rencontrées en 2023. 82% des RSSI interrogés jugent que le recours massif aux services cloud non approuvés se traduit par un risque élevé ou très élevé pour l'organisation (en progression de 5 points en un an). « Et il va falloir y ajouter la shadow IA, qui se développe avec la montée en puissance de l'IA générative, technologie dont les usages restent mal contrôlés », juge Alain Bouillé. 78% des RSSI estiment également que la liberté laissée aux utilisateurs dans le partage de données sur les outils collaboratifs du cloud soulève des risques élevés à très élevés.

En matière de risques, le Shadow IT devance largement l'absence de séparation des usages pro et perso et le télétravail.