Tryfonov - stock.adobe.com
Cybersécurité : ce que la posture des membres du Cesin suggère du tissu économique
Une fois de plus, les résultats de la dernière édition du sondage OpinionWay auprès des membres du Cesin dressent une image peu rassurante de la posture de cybersécurité en France, malgré des avancées encourageantes.
Les années se suivent et se ressemblent. Le Club des experts de la sécurité de l’information et du numérique (Cesin) vient de rendre publics les résultats de la dernière édition du sondage réalisé par OpinionWay, réalisé auprès de ses adhérents. Et ceux-ci s’avèrent à nouveau peu encourageants.
Près de 330 personnes ont participé à cette édition, dont 50 % de grandes entreprises et 39 % d’ETI. Dans le lot, 14 % relèvent des services publics.
Bonne nouvelle dans cette édition, 45 % des sondés disent avoir constaté au moins une cyberattaque au cours des 12 derniers mois, soit neuf points de moins que l’an dernier. C’est la troisième année de baisse consécutive.
La notion de cyberattaque est stable, mais mérite d’être rappelée : c’est « le fait de subir un acte malveillant envers un dispositif informatique, portant atteinte de manière significative à la confidentialité et/ou à l’intégrité de l’information de l’entreprise ou encore à la disponibilité du système d’information, entraînant des pertes financières significatives et/ou une atteinte à l’image de l’entreprise et/ou des efforts significatifs de défense pour contenir et traiter l’attaque ».
Ce dernier point est important : dans la perspective de cette définition, une cyberattaque est avérée, à compter du moment où une intrusion est décelée et nécessite « des efforts significatifs » pour être contenue et traitée, même s’il n’y a pas eu déploiement ni déclenchement de rançongiciel, notamment. Ainsi, l’intrusion constatée par Grenoble INP, fin novembre dernier, semble bien mériter d’être considérée comme une cyberattaque, dans le cadre de cette définition, et même si l’intéressé s’est refusé à utiliser le terme.
Des zones d’ombre
Moins de 15 % des sondés (14 % pour être précis) indiquent avoir été confrontés au chiffrement de données par ransomware l’an dernier, contre 18 % pour l’édition précédente du sondage.
Plus d’un tiers (35 %) des sondés ayant constaté une cyberattaque indiquent avoir subi un vol de données « personnelles et/ou stratégiques ou techniques ». 12 % font état d’une exfiltration de données « par ransomware » (même s’il serait plus judicieux de parler d’exfiltration de données dans le cadre d’une cyberattaque ayant conduit au déclenchement d’un rançongiciel).
Point intriguant, sur les sondés ayant constaté une cyberattaque l’an dernier, seuls 22 % font état de chiffrement de données avec ransomware – soit 9,9 % de l’échantillon complet. À quoi correspond l’écart de 4,1 points par rapport aux 14 % de tous les sondés disant avoir été victimes d’une « attaque de type ransomware », ou encore celui de 2,1 % avec les 12 % de tous les sondés ayant constaté un « chiffrement de tout ou partie des données » ? Des attaques sans véritable rançongiciel, avec BitLocker par exemple ? Ce n’est pas impossible : le CERT Santé a fait état d’un cas en novembre.
Un silence assourdissant
Qui sont les 46 membres du Cesin ayant subi une cyberattaque de type rançongiciel l’an passé (contre 65 en 2021) ? Nous avons recensé 166 victimes françaises de ransomware en 2022, dont 8 sont membres du Cesin, autant qu’en 2021.
Entre les deux éditions, nous sommes donc revenus à moins d’un quart des membres du Cesin, victimes connues de ransomware, comme pour 2020. De quoi suggérer que, hélas, une cyberattaque de rançongiciel semble encore largement perçue comme une maladie honteuse.
Et cela continue à porter préjudice à la prise de conscience de la réalité de la menace, et à l’adoption des pratiques qui permettent de se renforcer face à elle – que ce soit en prévention, en protection, ou en résilience.
Des portes encore laissées ouvertes
Ce sondage a été réalisé auprès des membres d’un « club d’experts ». On pourrait très légitimement estimer que les organisations représentées disposent d’une bonne maturité et de moyens appropriés face à la menace, mais ce n’est manifestement pas le cas. Et la situation ne semble pas s’être véritablement améliorée en un an.
Les causes des incidents de sécurité rencontrés en témoignent : 38 % des sondés évoquent (33 % il y a un an) une « négligence ou erreur de manipulation ou de configuration » ; 37 % (40 %) mentionnent des « vulnérabilités résiduelles permanentes ».
Mais il y a du positif. Ainsi, certains messages semblent avoir été entendus, notamment pour l’authentification à facteurs multiples (MFA) : 81 % s’en disent équipés. Ils sont tout autant pour la détection et la réponse sur les hôtes (EDR), contre 64 % pour l’édition précédente du sondage.
Surprise : seuls 69 % des sondés se disent équipés d’un système de protection des hôtes (EPP). En outre, l’adoption des systèmes de gestion des accès à privilèges (PAM) reste limitée, à 59 %, malgré des apports bien identifiés pour se protéger des attaques par rebond.
Des priorités en ligne avec les menaces
La gestion des vulnérabilités progresse également, entre scanner de vulnérabilités (80 %), gestion des vulnérabilités (75 %), et gestion des correctifs (73 %). La sécurité de la messagerie électronique apparaît aussi de plus en plus prise au sérieux, avec 76 % des sondés se disant dotés d’une passerelle de sécurité mail, contre 55 % il y a un an.
Autre bonne nouvelle : les approches adoptées face à la menace, et en particulier celle des ransomwares, semblent bien appropriées. La sensibilisation des utilisateurs arrive en tête (82 %), devançant l’EDR (71 %), la gestion des correctifs (68 %), les capacités de détection (61 %), ou encore le durcissement des environnements Active Directory (56 %), le filtrage des emails (55 %) et la sécurisation des sauvegardes (52 %).
L’intégration du renseignement sur les menaces reste toutefois limitée (35 %), de même que la segmentation réseau (29 %), ou le déploiement de solutions de détection et de réponse sur le réseau (NDR) à seulement 8 %.
Une lucidité toujours préoccupante
Au global, les membres du Cesin apparaissent lucides sur leurs capacités, et ce n’est pas nécessairement rassurant. Seuls 6 % des sondés se disent tout à fait confiants en leurs capacités à se reconstruire après une cyberattaque. Seuls 8 % en leurs capacités de réponse à une attaque. Seuls 11 % en celles pour la détection. Et seuls 10 % en leurs moyens de prévention et de détection.
Pour mémoire, il s’agit là des membres d’un club « d’experts » représentant des entités publiques et privées qui sont, pour 50 % des répondants, des grandes entreprises, et seulement 11 % des TPE/PME. Ce que ces experts disent d’eux-mêmes, et des organisations qu’ils représentent, est susceptible d’en dire long sur le reste du tissu économique de l’Hexagone.