Depuis 2015, le Cesin (Club des Experts de la Sécurité de l’Information et du Numérique)publie son baromètre annuel avec OpinionWay, réalisé auprès de 228 entreprises. Objectif : mesurer la perception et la réalité de la cybersécurité des grandes entreprises, dans un contexte de transformation numérique pendant une crise sanitaire avec des répercussions économiques et sociales sans précédent.
En 2020 une entreprise sur cinq déclare avoir subi au moins une attaque par ransomware au cours de l’année, provoquant un chiffrement et/ou un vol de données, assortis d’une demande de rançon pour délivrer une clé de déchiffrement et/ou un chantage à la divulgation de données. Le Phishing reste le vecteur d’attaque le plus fréquent, 80 % des entreprises déclarent que le phishing a été un vecteur d’entrée pour les attaques subies.
Le Shadow IT déjà largement répandu est toujours en forte augmentation. Avec le télétravail généralisé, l’usage d’applications et de services cloud non sécurisés et inconnus de la DSI constituent l’une des causes principales de risques cyber pour 44 % des entreprises.
La menace en matière de cyber-espionnage est elle aussi en augmentation. Plus de 56% considèrent que ce niveau de menace est élevé. Un score inquiétant qui corrobore les observations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) quant aux acteurs des secteurs stratégiques. 58 % des cyber-attaques ont eu des conséquences avérées sur le business, avec des perturbations sur la production dans 27 % des cas. Mais seulement 1 entreprise sur 2 est confiante en sa capacité à faire face à une cyberattaque.
24 % des entreprises ont fait appel à leur cyber assurance après une cyber-attaque. Nous avions observé un engouement notable pour la souscription de couverture aux cyber-risques ces dernières années, or sur ces 24 %, 10 % déclarent se heurter à des difficultés assurantielles.
47 % ont porté plainte auprès des autorités compétentes, mais cela n’a abouti que dans 15% des cas. L’exercice de l’attribution des attaques reste un sujet complexe.
La crise sanitaire apporte de nouveaux risques, 35 % d’augmentation des crises lui sont liées, et notamment 37 % sont attribués la généralisation du télétravail. En conséquence 43 % des entreprises se disent prêtes à augmenter leurs budgets pour affronter ces aléas.
Alors que l’adoption du cloud est massive, les risques induits restent pourtant bien présents. 51 % déclarent un risque fort de non maîtrise de la chaîne de sous-traitance de l’hébergeur, 45 % déplorent des difficultés de contrôle d’accès et 44 % de non maîtrise de l’utilisation par les salariés. En outre, 86 % estiment que la sécurisation des données stockées dans le cloud requiert une adaptation avec des outils ou dispositifs spécifiques. Tandis que 23 % signalent le risque d’attaque par rebond depuis l’hébergeur.
Pour contrer la menace du ransomware, le premier dispositif renforcé est la sensibilisation des salariés pour 83 %. A noter le développement du SOC (Security Operation Center) 56 %, le durcissement de l’AD (Active Directory) 53 %, et le déploiement en hausse des EDR (Endpoint Detection & Response) 48 %.
Par ailleurs, une dizaine de solutions est mise en place en moyenne par entreprise. Sans surprise le télétravail nécessite le recours massif à l’utilisation de VPN (90 %). Avec toujours une forte adoption des solutions d’authentification multi-facteurs (73 %). En revanche les solutions de CASB semblent avoir encore du mal à s’imposer (15 %).
Le concept Zero Trust, qui a fait son entrée dans le baromètre précédent avec une certaine défiance, progresse avec 29 % des entreprises réellement engagées ou en passe de mettre en œuvre ce concept, contre 16 % l’année dernière.
L’augmentation des budgets alloués à la cybersécurité a continué et 57 % des entreprises prévoient encore de poursuivre cette tendance. Elles sont 52 % à vouloir allouer plus de ressources à la cybersécurité. 85 % souhaitent acquérir de nouvelles solutions techniques en 2021. Côté innovation, les responsables de la cybersécurité sont désormais plus de la moitié à avoir recours aux offres issues de start-up (55 %).