mehaniq41 - stock.adobe.com
Cybersécurité : la posture des entreprises françaises reste préoccupante
Les résultats de la dernière édition du sondage OpinionWay auprès des membres du Cesin dressent, à nouveau, une image peu rassurante de la posture de cybersécurité en France, malgré des avancées encourageantes.
Le Club des experts de la sécurité de l’information et du numérique (Cesin) vient de rendre publics les résultats de la dernière édition du sondage réalisé par OpinionWay réalisé auprès de ses adhérents. Et ceux-ci s’avèrent peu encourageants.
Plus de 280 personnes ont participé à cette édition, dont 54 % de grandes entreprises et 38 % d’ETI. Dans le lot, 14 % relèvent du secteur public. Au total, plus de la moitié des sondés (54 %) indiquent avoir subi au moins une cyberattaque au cours des douze mois précédant le sondage. Ce dernier a été réalisé en ligne entre le 24 novembre et le 21 décembre 2021.
La notion de cyberattaque est peu ou prou la même que l’an dernier : c’est « le fait de subir un acte malveillant envers un dispositif informatique, portant atteinte de manière significative à la confidentialité et/ou à l’intégrité de l’information de l’entreprise ou encore à la disponibilité du système d’information, entraînant des pertes financières significatives et/ou une atteinte à l’image de l’entreprise et/ou des efforts significatifs de défense pour contenir et traiter l’attaque ».
Ce dernier point est important : dans la perspective de cette définition, une cyberattaque est avérée à compter du moment où une intrusion est décelée et nécessite « des efforts significatifs » pour être contenue et traitée, même s’il n’y a pas eu déploiement ni déclenchement de rançongiciel, notamment. Ainsi, l’épisode traversé par Lactalis fin février 2021 doit bien être considéré comme une cyberattaque, dans le cadre de cette définition.
Une communication toujours aussi limitée
Moins d’un cinquième des sondés (18 %) indique avoir été confronté au chiffrement de données par ransomware l’an dernier, contre 19 % pour l’édition précédente du sondage. En outre, 30 % des sondés indiquent avoir subi un vol de données « personnelles et/ou stratégiques ou techniques ».
Mais attention à ne pas mélanger les deux, car seulement 5 % des sondés indiquent que leur organisation a été victime de chiffrement de ses données assorti de vol et de chantage à leur divulgation. On relèvera que, même s’ils sont rares, il existe des cas où les attaquants ont été découverts après avoir volé des données, mais avant d’avoir déclenché leur ransomware. Ce qui ne les empêche pas de chercher à faire chanter leur victime.
Le premier constat qui s’impose ici est le silence des victimes de cyberattaques : qui sont les 65 membres du Cesin qui ont été frappés avec un rançongiciel en 2021 ? Nous avons compté 264 victimes françaises de ransomware l’an passé, dont 8 sont membres du Cesin. Soit deux de moins que pour l’édition précédente du sondage, alors que nous n’avions compté que 130 victimes françaises de rançongiciel.
Entre les deux éditions, nous sommes donc passés d’un quart des membres du Cesin victimes de ransomware connues à moins d’un sixième. De quoi suggérer que, hélas, une cyberattaque de rançongiciel semble encore largement perçue comme une maladie honteuse.
Et cela continue à porter préjudice à la prise de conscience de la réalité de la menace, et à l’adoption des pratiques qui permettent de se renforcer face à elle – que ce soit en prévention, en protection, ou en résilience.
Des portes encore laissées ouvertes
Ce sondage a été réalisé auprès des membres d’un « club d’experts ». On pourrait très légitimement estimer que les organisations représentées disposent d’une bonne maturité et de moyens appropriés face à la menace, mais ce n’est manifestement toujours pas le cas.
Les cases des incidences de sécurité rencontrées en témoignent : 40 % des sondés mentionnent des « vulnérabilités résiduelles permanentes » ; 36 % des « cyberattaques opportunistes » ; et 33 % une « négligence ou erreur de manipulation ou de configuration ». Mais il n’en semble pas moins y avoir des progrès.
Ainsi, face à l’intensification de la menace, 81 % des sondés indiquent avoir renforcé la sensibilisation de leurs collaborateurs. Ils sont également 64 % à révéler le déploiement d’un système de détection et de réponse sur les hôtes (EDR) – soit 16 points de plus qu’un an plus tôt. Bémol : un tel nombre suggère une base installée préalable plus que limitée. Même chose, d’ailleurs, pour la gestion des vulnérabilités (63 % des sondés disent, à gros traits, s’y être mis), ou le durcissement de l’environnement Active Directory (62 %). Plus surprenant, 55 % des sondés indiquent avoir adopté une solution d’analyse et de filtrage des courriels entrants ! Et 38 % reconnaissent s’être mis à la sécurisation de leurs sauvegardes. On relèvera également que 40 % indiquent avoir conduit des exercices de gestion de crise.
Une capacité à faire face limitée
Si seulement 22 % des sondés n’ont pas encore adopté l’authentification à facteurs multiples (MFA), ils restent 32 % sans EDR, 46 % sans bastion, et autant sans gestion des identités et des accès. Et cela, donc, parmi des organisations membres d’un club d’experts. Lesquels semblent avoir encore bien du mal à convaincre leurs directions de la nécessité de certains investissements. Pour autant, 79 % des sondés se disent confiants dans la prise en compte des enjeux de cybersécurité au sein de leur comité exécutif. D’ailleurs, ils sont 70 % à indiquer que leur organisation prévoit d’augmenter ses budgets de protection contre les risques informatiques dans l’année.
Les sondés semblent à tout le moins faire preuve de lucidité. S’ils sont 72 % à s’estimer en capacité de prévenir ou de détecter « une cyberattaque de grande ampleur », ils ne sont plus que 54 % à se sentir mûrs pour y répondre. Et seulement 51 % à se dire prêts pour la reconstruction après coup – dont uniquement 6 % à penser l’être « tout à fait ». Pour autant, 52 % des sondés se disent inquiets sur la capacité de leur organisation à faire face aux risques cyber.