Secu
Cybersécurité, le CESIN souligne une légère baisse des attaques réussies en 2022
Par Laurent Delattre, publié le 01 février 2023
En cybersécurité, les bonnes nouvelles sont rares. Alors quand une tombe, il faut savoir s’en réjouir. La 8eme édition du baromètre du CESIN qui compte plus de 900 responsables de la cybersécurité confirme une amélioration des entreprises dans leurs cyberdéfenses.
Depuis 2015, le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) dresse chaque année un tableau de la cybersécurité des entreprises à partir d’une enquête menée avec Opinionway auprès de ses membres. Ce tableau annuel quantifie les cyberattaques réussies contre les entreprises, les conséquences, les enjeux, les techniques utilisées par les attaquants, les actions menées par les entreprises pour se défendre et leurs perceptions de la capacité à résister. 328 membres de l’association en charge de la cybersécurité dans leur organisation ont répondu à cette 8ème édition du baromètre du CESIN. La moitié travaillent dans des grandes entreprises.
« Par cyberattaques, nous ne retenons que celles qui ont réussi et eu un impact significatif sur l’entreprise », souligne en préambule Mylène Jarrossay, présidente de l’association.
Et, bonne surprise, dans la poursuite de la tendance déjà constatée l’année dernière, le pourcentage d’entreprises ayant été victimes de cyberattaques réussies a continué de baisser pour descendre sous les 50% : 45 %. Il montait à 65 % en 2019.
Par ailleurs, 14 % des entreprises ont été touchées par des ransomwares contre 18% l’an dernier. Dit autrement, 86% des entreprises ont échappé au drame soit parce qu’elles n’ont pas été attaquées par des ransomwares, soit parce qu’elles ont su les bloquer.
Pour le CESIN, ces chiffres dénotent le travail effectué par les entreprises pour mieux se protéger et non une baisse de l’activité des cybercriminels. Car, pour 64% des répondants, le nombre d’attaques est resté stable et 24% des entreprises ayant déclaré au moins une attaque en 2022 estiment toujours que le phénomène est en augmentation.
En moyenne, les entreprises qui ont constaté au moins une attaque en ont concrètement subi 3 en moyenne dans l’année. Le principal vecteur d’attaques constaté était une nouvelle fois le Phishing devant l’exploitation d’une faille et l’arnaque au président (qui reste très présente).
Reste que les attaques réussies font des dégâts sérieux. Dans 60% des cas, elles impactent fortement le business des entreprises. Elles perturbent significativement la production pour 24% des sondés. Dans 7% des cas, on constate un déficit du chiffre d’affaires.
Les conséquences de ces attaques se traduisent majoritairement par « le vol de données (35%), l’usurpation d’identités (33%), et des données chiffrées par ransomware (22%) », souligne Mylène Jarrossay.
Si les causes expliquant les réussites de ces attaques sont nombreuses, « elles reposent encore et toujours en premier lieu sur une négligence ou une erreur interne d’un administrateur ou d’un utilisateur », alerte Alain Bouillé. Cette cause arrive en tête à 38%.
Autre sujet de préoccupation connexe, si 8 entreprises sur 10 ont lancé des programmes de sensibilisation des utilisateurs, la mesure de leur efficacité reste négligée.
Le cloud, qui représente moins de 50% du SI en moyenne chez les répondants, est aussi un motif d’inquiétude, ce, parce qu’il se traduit par une perte de la maîtrise de la chaîne de sous-traitance. De plus, surveiller et sécuriser le cloud supposent pour 89% des répondants d’acheter d’autres outils que ceux proposés, et souvent déjà inclus dans les contrats.
Par ailleurs tous les débats autour de la souveraineté numérique et du cloud de confiance qui ont beaucoup agité l’univers politique mais aussi l’univers IT en 2022 commencent à avoir un impact. Ainsi 57% des entreprises se disent préoccupées par ce sujet. Voilà qui devrait encourager les clouds français et européens.
Plus positif, les entreprises ont encore renforcé leur protection avec des outils, qui sont jugés de plus en plus efficaces. « Les MFA, EDR, NDR…sont largement déployés. L’EDR, en particulier, est utilisé dans 81% des entreprises. En moyenne, 15 outils sont en place », détaille Alain Bouillé.
On notera également que globalement, les entreprises interrogées sont plutôt satisfaites des solutions mises en place. C’est assez logique dans un paysage où le nombre d’attaques réussies est en décroissance. Ainsi, 88% des répondants estiment que les solutions et services de sécurité disponibles sur le marché sont plutôt adaptés à leur entreprise. Dans le détail, le coupe MFA/EDR l’emporte, la combinaison étant jugée comme la plus efficace. Ce couple constitue aussi une vase pour construire une approche Zero Trust qui commence à se mettre en place. Même si seulement 12% des entreprises sont déjà très engagées dans le Zero Trust, 31% ont concrètement commencé sa mise en œuvre et 32% en étudie la mise œuvre. Seulement 25% des entreprises n’ont pas du tout intégré cette approche dans leur stratégie de cyber-résilience.
Parallèlement, les entreprises font de plus en plus souvent appel à des services managés de cybersécurité. Notamment en matière de SOC, de Threat Intelligence et de Pentests, autant d’activités qui réclament de véritables compétences spécialisées mais rares sur le marché.
Dernière bonne nouvelle, les entreprises comptent poursuivre sur leur lancée. Les budgets alloués à la cybersécurité augmentent encore légèrement cette année et dépassent majoritairement 5% du budget IT global. Ainsi, 63% des répondants prévoient une augmentation allouée aux dispositifs de protection, et 54% attribuée à l’augmentation des effectifs.
Question plus nouvelle, la cyber-assurance reste en devenir et n’a pas encore trouvé son équilibre entre conditions de versements, montants des primes et adhésion massive des ETI et PME.
Plus anecdotique, on s’étonnera que malgré le déclenchement de la guerre en Ukraine, le niveau des menaces relatives au cyber-espionnage est toujours perçu comme élevé par une entreprise sur deux, un chiffre qui reste étonnamment stable par rapport à l’année dernière !
Bien sûr tous ces résultats sont encourageants. Mais ils traduisent une réalité qui se limite aux grandes entreprises. Elles constituent plus de 50% du panel du CESIN. S’y ajoutent 39% d’ETI. Les TPE et PME ne constituent que 11% des membres du CESIN alors qu’elles forment l’essentiel du tissu économique français. Et dans ces structures aux budgets IT bien plus limités, les efforts de cybersécurité les plus basiques restent encore malheureusement à faire…
À LIRE AUSSI :