Comme chaque année, le Cesin (club des experts de la sécurité de l’information et du numérique)  publie son baromètre annuel réalisé avec Opinion Way sur la cybersécurité des entreprises françaises. Elle a été menée auprès de 282 membres de l’association (dont plus de la moitié représente des entreprises de plus de 5 000 salariés). Les résultats montrent une certaine continuité entre 2020 et 2021, dans un contexte toujours dominé par la crise sanitaire et les contraintes de télétravail.

Sur l’état des menaces en 2021, l’enquête fait ressortir que 54% des entreprises déclarent avoir subi au moins une attaque. C’est en légère baisse par rapport à l’année précédente. Ce qui fait dire au club que « la mise en place de dispositifs porte ses fruits ». Avec la crise, les RSSI ont remonté les curseurs de la sécurité et se sont dotés d’outils supplémentaires. Les chiffres sont assez éloquents : déploiement d’un EDR (+16 points par rapport à 2020), durcissement de l’Active Directory (+9 points). On note aussi que face aux ransomwares, les entreprises sont de plus en plus nombreuses à se doter d’exercice de gestion de crise (40%) et à renforcer la sécurisation des backups (+10% par rapport à 2020). Avec le développement du télétravail qui s’est poursuivi en 2021, les sondés ont accéléré sur la mise en place de VPN (91%), le recours à l’authentification multi-facteurs (90%), ainsi que les solutions de chiffrement (+7% par rapport en 2020). Au total, les entreprises disposent en moyenne de plus de 10 solutions de cybersécurité.

Des budgets en hausse et tension sur la cyber-assurance

Cet outillage et les efforts de sensibilisation ont un coût, mais les RSSI profitent d’une augmentation des budgets dédiés à la sécurité. Le baromètre constate une progression de 10 points sur la part du budget sécurité comprise entre 5 et 10% (36% en 2021 contre 26% en 2020) et de 5 points pour une part au-delà de 10% (8% en 2021 contre 3% en 2020). L’optimisme est également de rigueur pour l’année 2022 avec 70% des répondants (+13 points par rapport à 2020). Dans le profil des fournisseurs de solutions de sécurité, les entreprises n’hésitent plus à recourir à des start-ups pour 62% d’entre elles (contre 55% en 2020). Par ailleurs, il existe une forte attente par le développement des clouds de confiance ( 57%). Les approches zero trust (30%) et SASE (13%) continuent à progresser lentement dans la conception des politiques de sécurité.

Dernier élément saillant de cette enquête, la cyber-assurance. En 2020, ce sujet était déjà source de tension auprès des membres du Cesin. Cette année deux points agacent les RSSI : le recours aux agences de notation et les questionnaires. Sur le premier point, 54% jugent que le recours à ce type de service est une mauvaise chose. Pour une grande majorité des répondants, les résultats établis ne sont pas complètement fiables et les scores induits sont faussés (79%). L’autre point réside dans les questionnaires des cyber-assureurs qui sont de plus en plus longs et intrusifs. Certains membres du Cesin envisagent d’adresser à leur tour un questionnaire à leur cyber-assureur. En tout cas, beaucoup d’entreprises hésitent à renouveler leur contrat, face à la hausse exponentielle des tarifs, la baisse des couvertures et les exigences des assureurs inatteignables.