mehaniq41 - stock.adobe.com

Cybersécurité : les grandes entreprises françaises à la traîne

Personnel insuffisant, budgets hétérogènes : selon les secteurs, les grandes organisations pèchent par leur manque de sécurité. Ce n’est qu’après une attaque qu’elles prennent en charge ce problème.

46 % : ce chiffre représente la proportion des grandes entreprises françaises mature en termes de sécurité. Par maturité, il faut comprendre le niveau d’adoption de 193 mesures préconisées par les référentiels internationaux NIST CSF et ISO 27001/2. Cette étude a été menée par le cabinet français de conseil Wavestone auprès de 75 grandes entreprises représentant 3 millions d’utilisateurs. La surprise peut venir du fait que le budget consacré à la cybersécurité n’est pas si mauvais : 6,1 % du budget IT, alors que l’ANSSI recommande entre 5 et 10 %.  

Plus de budgets ne signifient pas plus de sécurité

Et les entreprises qui investissent le plus ne sont pas forcément les mieux loties. Le secteur financier est celui qui atteint le meilleur score de maturité (54,4 %), alors que la part du budget IT consacré à la cybersécurité n’est que de 5,8 %. La raison ? « Le secteur financier s’est intéressé à la cybersécurité bien avant les autres, du fait des réglementations mises en place », explique Gérôme Billois, Associé en charge de lactivité cybersécurité de Wavestone. Et c’est sans compter que « la bancassurance dispose de budgets IT bien plus élevés que dans d’autres secteurs ».

L’industrie et le secteur public tentent de rattraper leur retard, avec des parts de budgets respectives de 7 % et 6,6 %. En termes de ressources humaines, la différence entre le nombre de collaborateurs travaillant pour la sécurité et le total des effectifs est flagrante selon les secteurs, ce qui somme toute est logique : 1/373 dans la finance et 1/2274 dans l’industrie. « 15 000 postes dans le domaine de la cybersécurité sont ouverts en France, mais ne trouvent pas preneurs », rappelle Gérôme Billois.  

La réglementation booste la sécurité

Plusieurs facteurs influencent les investissements en cybersécurité : la réglementation (55,4 % d’entreprises matures dans les secteurs réglementés tels les OIV) contre 43,3 % dans les secteurs non réglementés. Évidemment, en cas d’attaques, les entreprises révisent à la hausse leur budget sécurité.

Plusieurs initiatives viennent éclaircir ce tableau. Gestion de risques, contrôle des identités (authentification multifactorielle), et EDR, sont plutôt bien adoptés. La détection et la protection sur le réseau sont en progression. Restent plusieurs points noirs, tous secteurs confondus : le cloud et les données. Concernant le cloud, près de 50 % des entreprises sécurisent l’accès à la console d’administration au moyen d’un simple identifiant et d’un mot de passe. La même proportion se contente des alertes de leurs fournisseurs en cas de problèmes. Quant aux données personnelles, RGPD oblige, plus de 60 % des entreprises sont en règle. Mais la même proportion n’a pas mis en place d’outils de protection contre la fuite de données, pourtant relativement faciles à déployer, selon Gérôme Billois.

L’Active Directory, un point crucial

Autre point sensible, qui constitue souvent l’une des premières cibles des attaquants, l’infrastructure Active Directory (AD). Sa sécurisation est en progression, mais il est vrai qu’elle reste complexe. Ainsi 73 % des entreprises réalisent des tests d’intrusion… une seule fois par an. Moins de la moitié disposent d’outils spécialisés pour contrôler leur annuaire. Peu d’entreprises disposent de postes dédiés à l’administration de leur AD, encore moins dans des salles sécurisées.

Au niveau des logiciels, le DevSecOps reste peu développé. La cause est connue : le développement et l’intégration continus, qui font que les applications sont mises à disposition rapidement, avec des cycles de mise à jour courts, afin de prendre des parts de marché le plus rapidement possible. Enfin, dans le secteur industriel, les entreprises qui installent de plus en plus de robots ne demandent pas aux fabricants comment ceux-ci sont sécurisés.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)