Après un premier exercice de cartographie locale de l’écosystème en cybersécurité, la région Bretagne et l’association Bretagne Développement Innovation (BDI présidée par Hugues Meili, PDG de Niji) se sont penchés sur ceux qui sont à protéger. Le fruit de ce travail mené en partenariat avec le syndicat mixte Megalis, le CLUSIR, le club des ETI Bretagne et l’Ordre des experts-comptables, est le premier baromètre cyber breton.

« L’objectif était de savoir comment les organisations bretonnes perçoivent les risques, quel est leur niveau de maturité quant aux questions de cybersécurité, ce qu’elles mettent déjà en œuvre, la connaissance des dispositifs d’accompagnement, leurs besoins et les éventuels freins à la mise en œuvre d’une politique spécifique à la cybersécurité », rapporte Guillaume Chéreau, responsable du CSIRT Bretagne et pilote de l’étude.

Une maturité à approfondir

Cette dernière a été menée du 16 mars jusqu’au 19 mai 2023 avec 269 répondants au total (50 % d’entreprises, 45 % de collectivités locales et 5 % d’associations). Le baromètre relève plusieurs enseignements dont le fait que 36 % des organisations ont subi un incident de sécurité et 24 % le qualifient de majeur. Sur les menaces redoutées et encourues, le rançongiciel arrive en tête, alors que la fraude par ingénierie sociale est un risque sous-estimé, souligne le rapport.

Concernant la maturité des structures bretonnes, l’hygiène de base en cybersécurité est « globalement bonne » notamment sur la mise en place d’antivirus ou de firewall. Mais sur l’installation de mesures plus avancées, le niveau de maturité reste faible et très hétérogène. On notera néanmoins une forte adoption des sauvegardes hors ligne, un effet sans doute du fait du développement des attaques par ransomware. Pour expliquer cette faiblesse, entreprises et collectivités placent le manque des ressources humaines et des moyens financiers restreints.