Alerte, les entreprises françaises surestiment leur maturité en cybersécurité D’après une étude récente sur la cybersécurité en France menée par PAC Teknowlogy, un cabinet européen indépendant de recherche et de conseil dans le domaine de la transformation numérique, des logiciels et des services informatiques, plus de la moitié (55%) des entreprises françaises auraient subi une cyberattaque au moins une fois dans les douze derniers mois, dont 30% d’entre eux ont même été victimes plus d’une fois.
Chaque année les entreprises françaises ont donc plus d’une chance sur deux de se faire attaquer. Face une telle situation, on pourrait penser qu’elles sont en permanence sur leurs gardes et mettent déjà en œuvre tous les moyens à leur portée pour se protéger efficacement des cybermenaces. Et pourtant, c’est loin d’être le cas.
En effet, des études avancent que 46% des grandes entreprises françaises n’atteignent pas le niveau de maturité cyber. Et selon le cabinet d’études PAC Teknowlogy, 41 % des entreprises françaises sont moins matures en termes de cybersécurité́ qu’elles ne le pensent.
Alerte, les entreprises françaises surestiment leur maturité en cybersécurité Découvrez dans cet article plus en détail les résultats de cette étude sur la cybersécurité en France menée par le cabinet européen PAC Teknowlogy. L’étude récente a été réalisée en mars et avril 2022.
Sommaires
Cybersécurité́ : un nombre important d’entreprises françaises moins matures qu’elles ne le pensent
Sponsorisée par Inetum et Sopra steria, l’étude menée auprès de 350 entreprises par PAC Teknowlogy révèle que 41% des entreprises françaises pensent être matures en termes de cybersécurité, alors qu’en réalité elles ne le sont pas.
Selon PAC Teknowlogy, en manquant de mettre en œuvre des mesures et les dispositifs indispensables qui leur permettent de vraiment sonder l’efficacité de leur système de cybersécurité, les entreprises françaises sont dans l’erreur et ont une perception qui ne reflète pas la réalité du terrain.
En tout, 53 % des entreprises françaises interrogées considèrent leur niveau de maturité en cybersécurité comme élevé dont 13% très élevé.
Comme indiqué plus haut, l’étude s’est portée sur 350 entreprises françaises, qui sont des entreprises de taille intermédiaire (ETI) et des grandes entreprises dans différents secteurs. Et pour la rendre la plus pertinente possible, le cabinet PAC Teknowlogy ne s’est entretenu qu’avec des responsables impliqués dans la prise de décision sur les initiatives qui concernent la cybersécurité tels que les Directeurs, les Directeurs des Systèmes d’Information (DSI), les Responsables de la sécurité des systèmes d’information (RSSI)…
Dans le document qui fournit les principales conclusions de l’étude, PAC Teknowlogy annonce qu’au travers de celle-ci, ils ont tenu à dévoiler au grand public la divergence qu’ont certaines entreprises françaises vis-à-vis de leur niveau de maturité en termes de cybersécurité.
Les autres chiffres clés avancés par l’étude
Outre cette divergence qu’ont 41% des entreprises françaises interrogées vis-à-vis de leur niveau de maturité en termes de cybersécurité, le document publié en juin 2022 par PAC Teknowlogy avance aussi d’autres faits tout aussi importants qu’il convient de connaître.
Il est notamment indiqué dans ce document que :
- 50% des entreprises interrogées sont mises en difficulté par la complexité du paysage informatique dans leur projet de mise en place d’un système de cybersécurité à l’épreuve de toute menace ;
- Sur les 53% des entreprises interrogées qui se considèrent disposer d’un niveau de maturité élevé en cybersécurité, seulement 44% ont mis en place des dispositifs de sécurité cloud. Pour information, si la sécurité du cloud a si bonne réputation, c’est parce qu’elle est assurée par de vrais professionnels experts dans le domaine et qui ont aussi les moyens d’investir dans des technologies coûteuses, plus sûres et performantes ;
- PAC Teknowlogy révèle qu’au moment de l’enquête la grande majorité des entreprises interrogées ne dédient que moins de 5% de leur budget IT à la cybersécurité.
- Malgré le manque de moyens pour investir dont souffre le secteur de la cybersécurité en France, la moitié des entreprises interrogées envisagent néanmoins d’augmenter de 10% de plus leur budget dédié à la cybersécurité au cours des 2 prochaines années ;
- Seulement 38% des entreprises déclarent avoir des dispositifs de Threat intelligence. Pour information, la Threat Intelligence est à la fois un dispositif et une discipline basée sur des techniques du renseignement. Son objectif est de collecter des informations liées aux cybermenaces (les menaces et les acteurs des cybermenaces). Les défenseurs pourront ensuite se servir de ces informations pour prendre les bonnes décisions dans leurs actions qui visent à atténuer les évènements préjudiciables.
- 65% des responsables en cybersécurité interrogés ont déclaré que leur entreprise forme et sensibilise leurs collaborateurs sur l’importance de la cybersécurité, ce qui est un signal plutôt positif.
Des lacunes au niveau de la mise en place des « technologies essentielles »
Alors que les cyberattaques se multiplient partout ailleurs comme en France, PAC Teknowlogy s’étonne aussi d’avoir découvert à quel point les entreprises françaises négligent l’importance de la mise en place des technologies dites essentielles. Ces dernières font référence à des dispositifs de cybersécurité de gouvernance, de gestion de risque, de conformité indispensables pour faire face aux différentes menaces présentes sur le cyberspace. D’après PAC Teknowlogy, seulement une entreprise sur deux met en place les « technologies essentielles ».
La situation est encore plus décourageante en ce qui concerne les dispositifs de cybersécurité essentiels à toutes entreprises tels que les Security operations center (une division qui assure la sécurité de l’organisation et surtout le volet sécurité de l’information), le SASE ou Secure Access Service Edge (une sécurité des réseaux émergente dans le modèle de cloud), la microsegmentation de réseau (indispensable pour la mise en place d’une sécurité zéro trust) ou encore l’authentification multifacteur. Moins d’un tiers des entreprises interrogées auraient mis en place ces dispositifs.
Interrogés par l’équipe de PAC Teknowlogy, les entreprises qui n’ont pas ces dispositifs expliquent qu’elles ne comprennent pas vraiment la valeur ajoutée réelle apportée par ces dispositifs, alors que les entreprises qui les ont mis en place appuient bien les nombreux bénéfices qu’elles ont pu constater.
Cybersécurité : les grandes organisations françaises où en sont-elles actuellement ?
Une autre étude, menée en mars 2022 par Wavestone, un cabinet de conseil français spécialisé en conseil en management et en conseil digital, cette fois-ci focalisée sur les grandes entreprises françaises confirment également le fait que le niveau de maturité des entreprises françaises reste encore trop faible.
Wavestone a réalisé l’étude sur la base d’une évaluation sur terrain auprès de millions de responsables de sécurité cyber.
46% des entreprises, n’atteignent pas le niveau de maturité cyber
Avec seulement 46% des grandes organisations françaises qui atteignent le niveau de maturité cyber, l’étude illustre également une hétérogénéité en fonction des secteurs. Celui de la Finance s’en tire plutôt bien avec un score de 54,4 %, résultant des investissements importants et historiques dans le secteur, notamment ceux encouragés ou imposé par les réglementations. Toutefois, objectivement, ce chiffre reste faible étant donné l’importance de la cybersécurité dans un secteur aussi critique.
Les secteurs de l’Energie (51,8%), l’Industriel (44.8%) et des Services (42.5%) suivent de près celui de la Finance. Et tout en bas de la marche se trouve le secteur du public, le moins sécurisé d’entre tous.
30% des organisations dans une situation à risque
Wavestone, qui en plus d’être un cabinet en management et en conseil digital, travaille également dans la gestion de cyberattaques pour le compte de ses clients. Grâce à leur expertise avérée dans le domaine de la cybersécurité et les données fournies par l’étude, ils ont pu identifier à quel point les grandes organisations sont vulnérables aux risques d’attaque par ransomware. L’étude révèle qu’au moins 30% des grandes organisations restent fragiles aux attaques par ransomware.
Selon Wavestone, l’absence de dispositifs adéquats, mais également le manque de professionnels qualifiés fait que les grandes organisations ne sont pas encore capables de se protéger ou de réagir efficacement face à des cyberattaques.
En effet, en France, la cybersécurité fait face à une pénurie de talents constante. En 2022, ce serait plus de 15 000 postes sont disponibles mais non couverts.
Les challenges encore à relever pour les grandes organisations françaises
Le niveau d’efforts mis sur la protection, la détection et la réaction aux attaques déployé par les grandes entreprises connait de nettes améliorations, avance Wavestone. Toutefois, elles continuent de négliger les efforts sur la reconstruction à la suite d’une attaque.
Dans le secteur de l’industrie, seulement 35% des entreprises analysées possèdent des systèmes d’information industriels sécurisés. Wavestone a remarqué que dans ce secteur en particulier, la plupart des systèmes ont été conçus sans sécurité par défaut. Ainsi, si les entreprises n’apportent pas des modifications même au niveau de la configuration, chose qu’elles oublient souvent de faire ou négligent, leurs systèmes se trouvent totalement vulnérables aux menaces cyber.
La sécurité des applications et des données sont le sujet que les entreprises maîtrisent le moins, en particulier du fait du volume d’actifs concernés, sans forcément parler de leur lieu de stockage, qui ne semble pas émouvoir les responsables.
Pire, 42% des organisations négligent la sécurité de leur système cloud, notamment en permettant l’accès d’administration à leur système cloud avec un simple login/mot de passe. Il se trouve en effet que si le cloud est de manière générale ultra-sécurisé, cette sécurité peut néanmoins être compromise si les entreprises utilisatrices ne font pas attention à bien respecter les bonnes pratiques de cybersécurité.
Auteur Antonio Rodriguez, Editeur et Directeur de Clever Technologies