Cyberattaques : une entreprise sur deux

Le Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) a dévoilé les résultats de son baromètre annuel réalisé avec OpinionWay, offrant une vue d’ensemble sur les enjeux et les tendances du secteur, avec des données issues de 401 entreprises.

Le volume des cyberattaques est stable mais les impacts sont significatifs

47% des entreprises interrogées déclarent avoir subi au moins une cyberattaque significative. Ce chiffre est stable par rapport à l’année précédente, il reflète une maturité croissante des organisations les mieux équipées en ressources et solutions de cybersécurité, malgré une menace toujours plus présente. Cette stabilisation fait suite à une baisse progressive entre 2019 et 2022 (de 65% à 45%), témoignant des bénéfices d’une gestion proactive des risques et d’investissements stratégiques dans la défense cyber.

Le phishing reste le vecteur d’attaque dominant (60%), identique à 2023, suivi par l’exploitation de failles (47%) et les dénis de service (41%). Cependant l’impact des attaques s’intensifie, avec en tête le vol de données en nette augmentation (+11 points à 42%) dont il constitue la principale conséquence. L’impact sur le business pendant une période significative est avéré à 65%, avec une perturbation sur la production dans 23% des cas.

Vers une sophistication accrue des cybermenaces

Alors que l’année précédente soulignait déjà l’émergence d’attaques hyper-volumétriques, le baromètre 2024 confirme la spécialisation des techniques d’attaques. Le Deepfake fait une entrée remarquée dans le baromètre, représentant déjà 9% des vecteurs d’attaques identifiés. Bien que cette proportion puisse sembler modérée, elle souligne l’émergence d’une technologie potentiellement dévastatrice.

Ce type d’attaque, basé sur la manipulation réaliste de voix ou d’images, amplifie des stratagèmes existants, notamment l’arnaque au président, qui reste l’une des méthodes d’extorsion favorites des cybercriminels. En facilitant l’usurpation d’identité et en renforçant la crédibilité des attaques par ingénierie sociale par exemple, le Deepfake est aux prémices de nouvelles opportunités pour les acteurs malveillants. Cette menace va évoluer, les technologies de création de Deepfake sont de plus en plus accessibles et leur exploitation dans des scénarios cybercriminels pourrait s’intensifier rapidement. Cette évolution exige une vigilance accrue des entreprises, qui doivent intégrer des stratégies de détection et de sensibilisation spécifiques pour contrer ces nouveaux risques.

En revanche, certaines menaces, comme le chiffrement par ransomware, connaissent une baisse notable (-9 points). La menace reste présente, ici encore il s’agit d’un signe supplémentaire de l’efficacité croissante des outils de défense et des processus de lutte contre la cybercriminalité des entreprises membres.

Avec 37% des entreprises considérant le cyberespionnage comme un risque élevé, ce type de menace sous haute surveillance continue de représenter un défi majeur. Ce chiffre, constant par rapport à l’année dernière, illustre la persistance des attaques ciblées visant des secteurs stratégiques et des données sensibles.

Alors que les acteurs malveillants affinent leurs tactiques pour contourner les défenses, la capacité des entreprises à anticiper et détecter ces incursions devient un enjeu critique. Face à un paysage géopolitique tendu et une sophistication croissante des menaces, le cyberespionnage exige une vigilance spécifique et des réponses renforcées pour protéger les actifs les plus stratégiques. En écho à ce phénomène, les sujets de souveraineté et de cloud de confiance continuent de préoccuper 52% des répondants.

Des défenses plus robustes, et une meilleure maîtrise des actifs

Comme l’année précédente, les entreprises continuent au-delà des incontournables pares-feux de plébisciter les solutions EDR (95% d’efficacité perçue, +5 points) et l’authentification multi-facteurs (MFA). Les concepts innovants tels que le Zero Trust et le VOC (Vulnerability Operation Center) poursuivent leur progression, atteignant respectivement 31% (+7 points) et 26% (+9 points) pour les entreprises interrogées.

Porter plainte reste indispensable pour lutter contre la cybercriminalité

En 2024 62% des entreprises ayant subi une cyberattaque ont porté plainte, une proportion stable mais encore insuffisante. Signaler ces incidents est essentiel pour renforcer la lutte collective contre le crime cyber.

En collaborant avec les autorités, les organisations contribuent à démanteler les réseaux criminels, tout en bénéficiant d’un accompagnement pour limiter les impacts. Porter plainte, c’est aussi envoyer un signal fort que la cybersécurité est une priorité stratégique et qu’aucune attaque ne doit rester sans réponse.

Du côté des environnements cloud, la mauvaise visibilité de l’inventaire des assets dans les clouds publics diminue en 2024 (31%, -7 points), en lien avec l’adoption croissante d’outils performants comme les solutions EASM et CAASM. Ces technologies permettent une cartographie plus précise des ressources, qui réduit les angles morts et renforce la posture de sécurité des entreprises. Cette évolution témoigne encore d’une maturité des organisations, bien que des défis subsistent, notamment sur le contrôle des accès administrateurs et des sous-traitants.

Un écosystème en transition avec l’essor de l’IA et la maîtrise des risques liés aux tiers

L’IA s’impose comme un levier de transformation numérique incontournable. En effet, le recours à l’intelligence artificielle fait un bond avec une adoption forte, puisque 69% des entreprises intègrent désormais l’IA dans leurs processus, contre 46% en 2023 (+23 points). Néanmoins, on constate que seulement 35% des organisations l’ont incluse dans leur stratégie de cybersécurité, révélant un potentiel d’amélioration significatif.

Les incidents liés aux tiers restent une préoccupation majeure. 28% des entreprises signalent de mauvaises pratiques, tandis que 85% d’entre elles adoptent des clauses de sécurité dans leurs contrats pour atténuer ces risques. Cette tendance s’inscrit dans la continuité des résultats de 2023, où l’impact des tiers était déjà souligné.

Des priorités en mutation, sur la gouvernance, les budgets et la formation

Le risque cyber se place dans le Top 3 des risques en entreprise. Malgré des budgets dédiés à la cybersécurité encore stables en 2024, les intentions d’augmenter les effectifs et les solutions techniques diminuent (respectivement -13 points et -15 points), un signe sans doute de tassement dans les moyens accordés à la cybersécurité qu’il conviendra d’observer en 2025.

64% ont intégré des étudiants en alternance cette année. En parallèle, la sensibilisation des collaborateurs reste un levier majeur puisque 85% des utilisateurs sont formés aux risques cyber, un chiffre stable et crucial pour réduire les comportements à risque.

Un lien renforcé entre cybersécurité et RSE

77% des RSSI intègrent désormais les initiatives de responsabilité sociétale des entreprises (RSE), en particulier via la promotion d’une culture de la cybersécurité et la conformité réglementaire. Ce rapprochement illustre la reconnaissance croissante de la cybersécurité comme pilier stratégique et sociétal.

Concernant la réglementation, en 2023 70% des entreprises déclaraient être impactées par au moins une réglementation majeure, telles que NIS2, DORA ou Cyberscore. Cette année, ce chiffre progresse à 79%, dont 52% indiquent un impact fort. La directive NIS2 reste la réglementation la plus citée, touchant 74% des entreprises interrogées. Ces exigences renforcent l’intégration des normes dans les stratégies de cybersécurité, avec des ajustements nécessaires dans les processus et les solutions déployées.


Un nouveau président pour le Cesin

Le Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) a un nouveau président : Fabrice Bru. Il succède à Mylène Jarossay, Chief Information Security Officer de LVMH, qui occupait cette fonction depuis le 22 juin 2019.

Titulaire d’une maîtrise en mathématiques obtenue à l’Université Pierre et Marie Curie (1998) et d’un DESS en Enseignement Supérieur Industriel (1999), il a récemment complété sa formation en 2024, avec un Exécutif MBA en « Stratégie et Intelligence Économique » à l’École de Guerre Économique.

Fabrice Bru débute sa carrière en 1998 au sein du cabinet ERCOM, avant de rejoindre le Groupe Danone en 2003 au poste de Responsable Sécurité des Systèmes d’Information. En 2008, il intègre la maison Louis Vuitton en tant que responsable de la cybersécurité. Depuis 2018 il a rejoint la STIME – Groupement Les Mousquetaires, où il est actuellement directeur cybersécurité et architecture.

Le conseil d’administration du Cesin est composé des personnes suivantes :

  • Mylène Jarossay, Group CISO LVMH, vice-présidente du CESIN, suppléante du Président
  • Frank Van Caenegem, CISO EMEA, Schneider Electric, vice-président du CESIN, en charge des relations internationales
  • Arnaud Martin, Directeur des Risques Opérationnels, Groupe Caisse des Dépôts, vice-président du CESIN, en charge des liens avec les Ministères et Autorités Publiques
  • Estelle Tchigique Boyer, Group CISO, CNP Assurances
  • Loïs Samain, RSSI, EDF Hydro
  • Olivier Stassi, Deputy Group CISO, Crédit Mutuel Alliance Fédérale
  • Vincent Lefret, RSSI, U TECH
  • Didier Gras, CISO Banque Commerciale en France – BNP Paribas
  • Eric Doyen, Directeur Sécurité Opérationnelle du SI, Groupe Malakoff Humanis
  • Hervé Dubillot, Directeur Cybersécurité, groupe Pomona
  • Mahmoud Denfer, Director cybersecurity Technip Energies

Eric Doyen conserve sa fonction de Trésorier, et Didier Gras reste Secrétaire Général. Alain Bouillé accompagne le Conseil d’administration en qualité de Délégué Général et porte-parole de l’association.