Technologies

Le CAC 40 complètement mobilisé sur la cybersécurité

Le CAC 40 complètement mobilisé sur la cybersécurité
Les entreprises du CAC 40 ont pris conscience des problématiques de cybersécurité. (Crédit Photo : TheDigitalArtist/Pixabay)

Le cabinet Wavestone a mené une étude sur la maturité des grandes entreprises en matière de cybersécurité. Le CAC 40 est totalement mobilisé sur ce sujet.

PublicitéTous les 3 ans, le cabinet Wavestone scrute et analyse les rapports annuels des entreprises cotées au CAC 40 sur l'aspect cybersécurité. Il regarde notamment s'il est fait mention des enjeux de la sécurité du SI et sur la mise en place d'actions de couverture du risque. Les résultats pour 2017 montrent que 100% des entreprises du CAC 40 se mobilisent sur la cybersécurité (en 2013, 95% s'en préoccupaient). Sur les actions dédiées, le taux est plus faible 88%, mais en nette progression par rapport à 2013 où 78% des entreprises écrivaient avoir des plans spécifiques.

Une prise de conscience globale, une maturité hétérogène

Ce regain de prise de conscience peut s'expliquer par les différentes attaques qui ont touchées les entreprises ces trois dernières années. On pense notamment aux ransomwares de type Locky, mais aussi les sabotages à travers les offensives WannaCry et NotPetya. Certaines grandes entreprises comme Renault ou Saint Gobain ont été impactées sur la production, ainsi que financièrement. Pour les spécialistes en cybersécurité, ces affaires ont eu un effet sur les directions des grandes entreprises. « Nous n'avons plus à faire peur », peut-on entendre du côté des RSSI.

Par contre sur le plan de la maturité, il y a encore des efforts à mener, souligne l'étude. Il existe beaucoup de disparités entre les secteurs d'activité sur les efforts en matière de cybersécurité. Wavestone réalise un index sur 20 pour évaluer cette maturité à partir de 14 critères pondérés (souscription d'une cyberassurance, implication du comité exécutif, sensibilisation et formation, etc.). Parmi les bons élèves, on retrouve les technologies de l'information (11,16) et la finance (10,88). La cuillère de bois revient à l'agroalimentaire avec un index de maturité de 6,51. L'industrie (8,37) et les services (9,34) se rapprochent doucement de la moyenne.

Des programmes morcelés et un début poussif sur le RGPD

Autre enseignement, pour un quart des entreprises du CAC 40, la problématique de cybersécurité est du ressort du comité exécutif. Au pire 12,5% des entreprises disposent d'une instance régulière avec le comité exécutif sur ce sujet. Sur les plans d'action, 75% des sociétés cotées indiquent avoir installée des programmes de déploiement de mesures de sécurité et seulement 12,5% lancent de programmes de cybersécurité. Mais les rapports annuels restent mutiques sur le montant des investissements. Par expérience, Wavestone estime que ces investissements peuvent aller de 50 millions à 900 millions d'euros.

Et le RGPD ? Wavestone s'est penché sur la mention du règlement général sur la protection des données au sein des rapports annuels. Sur l'ensemble des entreprises, seul 58% font référence au RGPD. Les plus en pointe sont la finance et les technologies de l'information en mentionnant le RGPD, mais aussi la mise en place d'un DPO et/ou d'un programme de conformité, ainsi que d'une instance de contrôle. Enfin tout aussi inquiétant, les innovations technologiques comme l'IA, l'IoT ou la Blockchain ne font pas de lien avec les problématiques de cybersécurité. Des efforts encore à faire de côté-là.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Lors de la modernisation ou du remplacement d’une application, le passage au mode SaaS est-il une option systématiquement étudiée ?