Stratégie

La maturité en sécurité informatique des entreprises très surestimée

L’image que les DSI et RSSI ont de leur maturité en sécurité informatique est plus positive que la réalité.

Selon une étude réalisée par le cabinet PAC, DSI et RSSI surestiment la maturité de la sécurité informatique de leurs organisations.

PublicitéEst-il encore nécessaire de pointer l'importance de la sécurité informatique face au développement des cybermenaces ? 55% des entreprises françaises ont été victimes d'une cyberattaque au moins une fois dans les douze derniers mois, 30 % d'entre elles plus d'une fois, rappelle ainsi la dernière étude PAC sur la cybersécurité. Face à ce danger permanent, on pourrait s'attendre que tout soit fait pour protéger les entreprises. Or l'étude PAC révèle une surestimation catastrophique du niveau de maturité des entreprises en matière de sécurité informatique. Selon le cabinet d'études, 41 % des entreprises françaises sont moins matures en termes de cybersécurité́ qu'elles ne le pensent, 53% des entreprises interrogées déclarant un niveau de maturité en cybersécurité élevé.

Un chiffre, notamment, fait frémir : « 14% des entreprises ayant déclaré avoir une maturité en cybersécurité très élevée n'ont pas mis en place de stratégie de cybersécurité ». La direction générale ou le comité exécutif (Comex) ne valident la stratégie de sécurité informatique que dans 41 % des cas. Le RSSI n'est directement rattaché au Comex que dans 22 % des cas. Alors que les ransomwares et autres logiciels malicieux s'introduisent en général par des erreurs humaines, sensibilisation et formation des collaborateurs à la cybersécurité ne sont mises en place que par 65% des entreprises interrogées.

Côté moyens, 62 % des entreprises consacrent au plus 5 % de leur budget IT à la cybersécurité même si 52 % pensent l'augmenter dans les deux prochaines années d'au moins 10 %. La sécurisation des environnements cloud n'est effective que dans 44 % des cas. Les approches de type zero trust, SASE (Secure Access Service Edge), etc. sont très minoritaires voire marginales, tout comme l'adoption de l'identification multifactorielle ou la mise en place d'un SOC (Security Operations Center).