Afin de mieux cerner l’état de l’art et la perception de la cybersécurité et de ses enjeux au sein des grandes entreprises françaises, le Cesin, association de 498 RSSI, a publié la quatrième édition de son baromètre annuel avec OpinionWay, réalisé auprès de 174 RSSI.
Si le nombre des cyberattaques constatées tend à se stabiliser, huit entreprises sur dix continuent d’être impactées, avec, pour 59 % d’entre elles, des conséquences sur le business (arrêt de la production, indisponibilité significative du site Internet, perte de chiffre d’affaires…) soit dix points de plus par rapport à l’année dernière.
Le phishing est le mode d’attaque le plus fréquent, 73 % en ont été victimes, étonnamment l’arnaque au Président, que l’on croyait en extinction, touche encore une entreprise sur deux en 2018. Le ransomware occupe la troisième rang avec 44 % d’entreprises touchées, suivi par le social engineering (40 %). Le Shadow IT est le risque cyber le plus répandu, mentionné par 64% des répondants comme étant une menace à traiter.
En effet, l’usage notoire des applications et services cloud, le plus souvent gratuits, s’est banalisé et échappe au contrôle de la DSI. Cela accroît significativement les risques, comme les fuites de données via les outils de transfert d’information ou de partage de fichiers volumineux. D’autant que l’utilisation, même anecdotique, d’un service cloud peut suffire à compromettre l’intégrité et la sécurité des données de l’entreprise.
Cloud et IoT : des risques accrus avec la transformation numérique
Quasiment toutes les entreprises (98 %) estiment que la transformation numérique a une incidence sur la sécurité des systèmes d’information des données. En tête des enjeux : le recours massif au cloud, utilisé par 87 % des entreprises, dont 52 % dans des clouds publics. Un mode de stockage qui pose des problèmes de non-maîtrise : que ce soit par rapport à l’accès aux données de l’entreprise par les hébergeurs (via les administrateurs ou autres) ou par rapport à la chaîne de sous-traitance pratiquée par le fournisseur. Pour 89 % des RSSI interrogés, ces enjeux impliquent le recours à des outils de sécurisation supplémentaires.
Dans le même temps, les objets connectés se sont progressivement installés dans le paysage et la course à l’innovation ne va pas de pair avec l’implémentation de la sécurité, faisant apparaître de nouvelles typologies de menaces. Les nombreux cas de piratage témoignent d’une progression de la cybercriminalité via les objets connectés. Pour l’IoT, la caractéristique la plus marquante reste les failles de sécurité présentes dans ces équipements. On notera souvent l’absence de chiffrement pouvant porter atteinte à la confidentialité, ou l’absence d’authentification avec des accès non protégés.
Face aux cyber risques, une cyber résilience à développer
Pour contrer ces cyber risques, les RSSI déploient une panoplie de solutions techniques, globalement jugées adaptées à leurs besoins (par trois RSSI sur quatre), même si des progrès restent à faire dans leur adaptation à la transformation numérique. Pour autant, les entreprises françaises sont-elles en capacité de défendre leurs infrastructures ? Les RSSI se disent moins confiants que l’année dernière quant à la capacité de leur entreprise à faire face aux cyber-risques. 51 % sont confiants, soit une baisse de 12 points, et moins d’un sur deux considère que son entreprise est préparée à gérer une cyberattaque de grande ampleur.
Trois enjeux pour l’avenir, essentiellement humains
D’après les RSSI interrogés par le Cesin, l’enjeu principal pour l’avenir de la cybersécurité est celui de la formation et de la sensibilisation des utilisateurs. Les usages des salariés apportent en effet leur lot de risques, notamment via le Shadow IT. Et si les salariés sont sensibilisés, ils restent peu impliqués en ne suivant pas forcément les recommandations. Un important travail de pédagogie reste donc à faire.
La gouvernance de la cybersécurité doit également être placée au bon niveau pour 60 % des RSSI. Malgré un impact positif de la mise en conformité RGPD sur la gouvernance des entreprises, la confiance en la capacité des Comex à prendre en compte les enjeux de la cyber sécurité est très inégale en fonction des secteurs d’activité. En France, comme dans le reste du monde, la pénurie de ressources humaines en cybersécurité est un défi majeur pour les organisations et déplorée par 91 % des RSSI…
Des PME très vulnérables
La cybersécurité dans les PME a été évaluée dans le cadre d’une étude, publiée à l’occasion du FIC 2019 (Forum international de la cybersécurité), par la CPME (Confédération des PME), le Cinov-IT, Hexatrust, le Clusif et le site cybermalveillance.gouv.fr. Il ressort de cette analyse que quatre PME sur dix ont déjà subi une ou plusieurs attaques ou tentatives d’attaques informatiques, dont un quart des hameçonnages et une sur cinq des diffusions de malwares.
Rappelons que l’hameçonnage est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Il peut s’agir d’un faux message, SMS ou appel téléphonique de banques, de réseaux sociaux, d’opérateurs de téléphonie, de fournisseurs d’énergie, de sites de commerce en ligne, d’administrations, etc. Un malware se dit de tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau. Les virus ou les vers sont deux types de codes malveillants connus.
Les principales conséquences des cyberattaques dans les grandes entreprises françaises
Source : Cesin, 2019.
Les cyber risques prennent la tête
Selon l’assureur Allianz, qui a publié début 2019 son baromètre des risques business, ceux liés aux technologies se hissent pour la première fois au premier rang, ex-aequo avec les interruptions business (dont les dysfonctionnements de la chaîne logistique). « Les entreprises font face à un nombre croissant de scénarios d’interruption d’activité, dont la plupart se produisent sans dommages matériels, mais causent des pertes élevées. Des événements, tels qu’une panne des systèmes informatiques centraux, un rappel de produits ou un incident qualité, un acte terroriste, la violence politique ou des émeutes, ou encore la pollution environnementale, peuvent provoquer une interruption d’activité qui empêchera l’entreprise de fournir ses produits ou services, ou dissuadera la clientèle de s’adresser à elle, avec un effet désastreux sur le chiffre d’affaires » expliquent les auteurs de l’étude.
Selon Allianz, la moyenne des pertes assurées pour les incidents cyber dépasse aujourd’hui 2 millions d’euros, contre un peu moins de 1,5 million pour les incendies et explosions, mais les pertes liées à des événements majeurs peuvent atteindre des centaines de millions d’euros. De plus en plus souvent, les incidents cyber entraînent eux-mêmes des pertes d’exploitation. Ainsi, les sondés par Allianz classent les incidents cyber parmi les facteurs d’interruption d’activité qu’ils craignent le plus, car pour un grand nombre d’entreprises, les principaux actifs sont leurs données, leurs plateformes de services, leurs clients ou leurs fournisseurs. Les pertes d’exploitation ont été la marque des attaques perpétrées en 2017 par les malwares WannaCry et NotPetya, qui ont perturbé les entreprises de transport, de logistique et de production. Les assureurs ont constaté une augmentation des pertes d’exploitation dues à des incidents cyber, avec des demandes d’indemnisation en risques industriels dépassant les 100 millions de dollars.
| Les chiffres clés de la cybersécurité | |
| Dans les PME (moins de 50 salariés) | Dans les grandes entreprises |
|
|
| Source : Cesin, CPME, Cinov-IT, Hexatrust, Clusif, cybermalveillance.gouv.fr. | |