« Il y a eu des efforts et des investissements importants cette année de la part des entreprises sur la cybersécurité », souligne Gérôme Billois, associé en charge de l’activité cybersécurité de Wavestone. La société de conseil réalise chaque année une étude sur la maturité cyber des entreprises auprès de 100 clients (dont 60 sont des grands comptes situés en France et 40 localisés dans d’autres pays) et sur la base des référentiels NIST et ISO 27001/2. En 2022, le taux de maturité était de 46 %, il est maintenant de 49 %. Une hausse de 3 points qui n’est pas à négliger selon le consultant, « gagner 1 à 2 points pour une entreprise peut s’avérer très complexe ».

Accélération dans l’industrie et balbutiement dans le secteur public

Bien évidemment derrière cette maturité globale se cache un grand écart entre les secteurs d’activité. La finance reste le bon élève avec une adoption moyenne proche des 60% (avec un pic à 88,9% pour une banque anglaise). Cependant Gérôme Billois souligne que dans ce secteur, « nous constatons la fin d’un cycle d’investissements et un autre va prochainement s’ouvrir autour de l’automatisation et de la gouvernance ». Sur ce dernier point, il constate qu’après les investissements massifs, « il faut démontrer l’efficacité du système et qu’il y a des réflexions sur la mutualisation des compétences du CISO, DPO, de la sûreté autour d’un rôle unique de CSO ».

Le secteur industriel a mené depuis un an une remontada en matière de cybersécurité. La maturité gagne 4,6 points pour approcher les 50 % (49,4 % exactement). Dans le détail, cette activité a pris conscience des risques spécifiques. Par exemple, le fait d’avoir une organisation dédiée à la sécurité des systèmes industriels a fait un bond de 21 point à 71 % et 86 % pour la mise en place de firewall. La filière recrute aussi avec 1 personne dédiée à la cyber pour 1 332 (la moyenne générale est de 1 pour 1 285). Des efforts donc mais que Gérôme Billois relativise, « il y a un rattrapage pour faire de la sécurité des années 2000, il faut maintenant aller vers quelque chose de plus moderne ».

Sur un an, la maturité a progressé mais reste en dessous des 50 %. (Crédit Photo : Wavestone)

En queue de peloton, le secteur public est le seul à voir son niveau de maturité baisser légèrement (-0,9 point à 36,4 %). Pourtant, l’étude montre que les investissements sont les plus importants dans cette activité (6,6 % du budget est consacré à la cyber). « Le plan cybersécurité, France Relance, les parcours cyber de l’Anssi montrent les efforts de l’Etat dans ce domaine », glisse Gérôme Billois.

Détection, réponse, MFA progressent, la gestion des assets, des tiers et la résilience inquiètent

Wavestone est entré un peu plus dans le détail de la mise en place de solutions de sécurité conformément aux référentiels NIST et ISO. « Il y a eu clairement un effort sur la détection et la réponse à incident pour arrêter les cyberattaques plus rapidement », note le consultant. Des bons points sont également à souligner sur la gestion des identités (IAM), la mise en place de méthode d’authentification multifacteur (MFA). Même la maturité autour des ransomwares progresse avec un taux d’organisations considérées en situation critique de 23 % (contre 30 % en 2022). La sécurité du cloud constitue un axe de travail pour les sociétés sondées avec une hausse de 8 points de la maturité à 44,5 %.

Parmi les inquiétudes, Gérôme Billois soulève des problématiques insolubles pour les entreprises, « la gestion des assets est un vrai caillou dans la chaussure des DSI et personne n’a réussi à trouver de solution globale ». Un problème qui se répercute sur la capacité de reconstruire après une attaque, « la connaissance du SI est un travail herculéen », reconnait le consultant. Il note que cette résilience montre un fossé entre la finance et les autres secteurs. Le premier est bien préparé sur la gestion des risques, de crise, des liens avec les tiers, des tests de PCA, « dans une banque en particulier, la bascule vers le PCA se déroule tous les jours à midi », évoque-t-il.