Comme chaque année, le Cesin (Club des experts de l'information et du numérique) publie un baromètre annuel réalisé par Opinion Way sur la cybersécurité des grandes entreprises françaises. Cette enquête cible les 500 membres de l'association et 174 RSSI y ont répondu. Cette quatrième édition montre l'état de l'art, la perception de la cybersécurité et ses enjeux au sein des grandes entreprises françaises.

En premier lieu, les cyberattaques ont réellement un impact sur l'activité des entreprises. En 2018, près de la moitié des responsables interrogés avaient cette impression, en 2019, ils sont 59% à considérer ces conséquences (arrêt de la production, indisponibilité significative d'un site, perte de chiffre d'affaires). Les affaires Wannacry et NotPetya ont fait oeuvre de sensibilisation douloureuse rappelant aux organisations que nul n'est à l'abri.

Mais le risque cyber le plus appréhendé par les RSSI est le shadow IT (64%) et en particulier les applications et les services cloud souvent gratuits échappant au contrôle de la DSI. Les résultats de l'enquête corroborent une étude réalisée par le Cesin et Trend Micro en avril 2018 montrant l'état du shadow IT dans les entreprises. En moyenne, chaque société utilise 1 687 cloudappps, les chiffres variant de 287 à 5 945. Pour autant, le cloud n'est pas rejeté, car les entreprises y ont massivement recours (87%). Mais la maîtrise de ce modèle de consommation de l'IT pose encore des questions d'accès aux données et de responsabilité des sous-traitants. Pour répondre à ces interrogations, les RSSI plébiscitent (89%) le recours à des outils de sécurisation supplémentaires, comme le CASB (Cloud Access Security Broker) par exemple.

Le développement d'une cyber-résilience et les promesses de l'IA

L'outillage est une chose, la capacité réelle à défendre en est une autre. Il existe une certaine lassitude des responsables sur ce dernier point. En effet, ils sont 75% à estimer que les solutions techniques sont adaptées à leur besoin, mais seulement 51% (soit une baisse de 12 points par rapport à l'année dernière) se déclarent moins confiants pour défendre leurs infrastructures. Moins de la moitié des personnes interrogées avoue ne pas être préparée à gérer une cyber-attaque. Face à cette incertitude, la moitié des sondés a souscrit une cyber-assurance.

Autre espoir, l'intelligence artificielle est un enjeu pour les RSSI. 56% des répondants ont mis en place des solutions basées sur l'IA ou envisagent de le faire. Lors de Assises de la sécurité à l'automne dernier, plusieurs grandes entreprises ont témoigné sur l'apport de l'IA dans la cybersécurité. Le point commun des interventions est que l'IA est un aide auxiliaire, mais qu'elle ne se substituera pas à l'expertise humaine.

In fine, l'enjeu principal des RSSI demeure le volet humain avec la formation et la sensibilisation (61%). De même, la pénurie de compétences en matière de cybersécurité est toujours criante pour 91% des RSSI.