Stratégie

Le baromètre Cesin pointe une amélioration de la cyber-résilience des entreprises

« La gestion des risques liés aux tiers est le sujet du moment et pose de plus en plus question auprès de nos membres », a expliqué Mylène Jarossay, présidente du Cesin lors d'une présentation du 8e baromètre cybersécurité du club ce 30 janvier 2023.

La part des entreprises françaises touchées par une cyberattaque réussie a baissé à 45 % en 2022 d'après la dernière édition du baromètre annuel du Cesin sur la cybersécurité. Le phishing, ciblé ou non, progresse en tant que principal vecteur d'attaque.

PublicitéAprès l'Anssi et le Clusif, c'est maintenant au tour du Cesin de faire un point sur l'année écoulée en termes d'attaques informatiques. Dans la 8e édition de son baromètre sur la cybersécurité des entreprises françaises, le club de la sécurité des systèmes d'information et du numérique montre que 45 % de ses membres RSSI ayant répondu à l'enquête (soit 328 sociétés) ont été touchés par une cyberattaque significative ayant réussi. Un indicateur encore important, mais qui diminue année après année : en recul de 9 points par rapport à 2021 (54 %), il s'améliore aussi par rapport à 2020 (57 %) et 2019 (65 %). En termes de nombre d'attaques, 64 % des répondants estiment qu'il est resté stable (65 % en 2021) alors que 24 % indiquent une augmentation (27 % en 2021) et 12 % au contraire une diminution (versus 8 % précédemment). En termes de répondants, 50 % sont issus de grandes entreprises, 39 % d'ETI et 11 % de TPE-PME. Les secteurs d'activité représentés sont variés : services (41 %), industrie et BTP (20 %), services publics (14 %) et commerce (14 %).

« Les actions portent leurs fruits », annonce Alain Bouillé, délégué général du Cesin, pointant les efforts des entreprises pour lutter contre les cybermenaces. Ceux-ci passent aussi bien par la mise en place de solutions de sécurité, la sensibilisation des utilisateurs que la formation des administrateurs et équipes IT aux risques cyber, même s'il reste encore pas mal de chemin à parcourir. « Sur la sensibilisation, il a toujours un sentiment de mettre de l'eau dans le sable : si on ne le fait pas on est fautif, et si on le fait, son effet est très limité », explique Alain Bouillé. « La sensibilisation est indispensable, mais on ne peut pas faire reposer la sécurité de tout son patrimoine là-dessus ». Et le responsable de poursuivre : « ce serait un crime contre la cybersécurité que de ne pas envoyer ses administrateurs en formation. Il y a un niveau d'expertise attendue des équipes tech et des développeurs. Il faudrait que cette expertise cyber soit by design dans leur cursus, il y a donc un gros travail fondamental à faire ».

Des impacts variés sur l'activité des entreprises

60 % des RSSI d'entreprises françaises estiment que les cyberattaques ont un impact direct sur le business. (crédit : Cesin)

Les impacts des cyberattaques sur l'activité des entreprises sont variés : perturbation de la production (24 %), compromission d'information (14 %), perte d'image et impact médiatique (14 %), indisponibilité du site web (13 %), arrêt de production (10 %), perte financière liée à des transactions frauduleuses (9 %), retard sur la livraison auprès des clients (8 %), perte de chiffre d'affaires (7 %) et sanction par une autorité (1 %), tandis que les 4% restant regroupent d'autres impacts. Le niveau de menaces relatives au cyber-espionnage est perçu de son côté comme élevé par 50 % des entreprises, en léger retrait par rapport aux 55 % de l'an passé.

PublicitéDans son dernier rapport, le Cesin pointe également que 2022 a aussi été marqué par le renforcement de la menace lié aux ransomwares, avec à la clé pour les victimes un chantage à la divulgation de données. Pour autant, l'élévation de ce risque ne s'est pas traduite par une hausse du nombre d'entreprises touchées. Alors qu'elles étaient 18 % à indiquer que c'était le cas en 2021, elles ne sont plus que 14 % aujourd'hui. « La baisse du nombre de victimes par ransomware s'explique par le fait que les entreprises se dotent de bons systèmes de protection et de détection et ces investissements portent leurs fruits », poursuit Alain Bouillé. Et Mylène Jarossay, présidente du Cesin de faire savoir de son côté : « le paiement des taux de rançons a diminué et le ransomware est donc moins lucratif, cela va dans le bon sens ». On n'en saura toutefois pas plus sur le montant des rançons payées par les membres du Cesin victimes de ransomwares.

Une confiance accrue dans les solutions du marché

Concernant les vecteurs d'attaques ayant impacté les entreprises au cours de l'an passé, le phishing - qu'il soit ciblé ou non - ressort toujours en tête (74 %), en progression d'un point par rapport à 2021. Suivent l'exploit de failles (45 %), l'arnaque au président (41 %), les tentatives malveillantes de connexion (33 %), l'acquisition de noms de domaine illégitimes (28 %) ou encore les attaques indirectes par rebond via un prestataire (24 %). « C'est un chiffre important », souligne Alain Bouillé au sujet de ce dernier indicateur. « Les entreprises externalisent de plus en plus et sont rarement attaquées directement. Elles le sont via leurs prestataires qui souvent n'ont pas le même niveau de sécurité que leurs clients ». Et Mylène Jarossay d'ajouter : « la gestion des risques liés aux tiers est le sujet du moment et pose de plus en plus question auprès de nos membres ».

Dans l'arsenal des moyens de défense contre les cyberattaques, les solutions du marché constituent de précieux adjuvants. Cela se ressent dans le niveau de confiance que leur accordent les entreprises : elles sont désormais 88 % à les considérer comme étant adaptées (versus 86 % en 2021). « Année après année, de plus en plus de solutions sont considérées comme adaptées aux problèmes posés, alors que c'était l'inverse dans le premier baromètre », explique Alain Bouillé. « Année après année, les solutions deviennent enfin efficaces et EDR ainsi que MFA n'y sont certainement pas pour rien. C'est une bonne nouvelle pour nos fournisseurs ». En moyenne, près de 15 solutions cybersécurité sont en place dans les entreprises. Certaines organisations - parmi les plus grandes - atteignent même une cinquantaine. En tête des solutions les plus répandues figurent les MFA (81 %), les EDR (81 %), les scanners de vulnérabilités (80 %), les VPN (77 %) ainsi que les passerelles de sécurité mail (76 %). « Les solutions SOAR pour détecter et apporter une réponse rapide ont aussi progressé et les entreprises comptent dessus pour leur défense », indique Mylène Jarossay.

Zero trust et SASE en cours d'appropriation

Les membres du Cesin pensent en grande majorité que les solutions du marché sont efficaces, les plus faibles scores s'expliquant d'après le Cesin surtout par le fait que ces outils n'ont pas encore été déployés. (crédit : Cesin)

Parmi les autres - nombreux - indicateurs explorés dans cette dernière étude du Cesin, on notera par ailleurs que l'approche zero trust commence à être mise en place dans les entreprises (43 % d'entreprises concernées) ou encore que le concept SASE (secure access service edge) ne semble pas encore avoir été intégré dans les entreprises. « On pense que cette approche va aller en augmentant », explique Mylène Jarossay ». Et Alain Bouillé de préciser, non sans malice : « Certaines personnes, à l'image de Monsieur Jourdain, font du SASE sans le savoir pour certaines de leurs briques de sécurité ».

La 8e édition du baromètre du Cesin a aussi été l'occasion d'introduire de nouvelles questions. En particulier sur le thème brûlant de la gestion interne ou externe de la cybersécurité, avec à la clé de grandes différences selon les types de solutions et de services concernés. Alors que les pen tests sont majoritairement confiés (59 %) à un tiers, tout ce qui touche à la détection et à la réponse aux incidents des terminaux (EDR) ainsi qu'à la gestion des vulnérabilités relève majoritairement de l'interne, respectivement à hauteur de 59 % et 77 %. « La majorité des services CERT, SOC, threat intel et pen test sont externalisés ou gérés tant en interne qu'en externe, ce qui est une tendance forte. Avant, l'externalisation était un gros mot pour les RSSI, maintenant les services SOC en particulier sont de plus en plus des services consommés en externe », indique Alain Bouillé.

Gestion internalisée ou externalisée de la cybersécurité

La gestion en externe des solutions et services de sécurité n'est vraiment plus taboue pour les RSSI. (crédit : Cesin)