Tous les 3 ans, le cabinet Wavestone scrute et analyse les rapports annuels des entreprises cotées au CAC 40 sur l'aspect cybersécurité. Il regarde notamment s'il est fait mention des enjeux de la sécurité du SI et sur la mise en place d'actions de couverture du risque. Les résultats pour 2017 montrent que 100% des entreprises du CAC 40 se mobilisent sur la cybersécurité (en 2013, 95% s'en préoccupaient). Sur les actions dédiées, le taux est plus faible 88%, mais en nette progression par rapport à 2013 où 78% des entreprises écrivaient avoir des plans spécifiques.

Ce regain de prise de conscience peut s'expliquer par les différentes attaques qui ont touchées les entreprises ces trois dernières années. On pense notamment aux ransomwares de type Locky, mais aussi les sabotages à travers les offensives WannaCry et NotPetya. Certaines grandes entreprises comme Renault ou Saint Gobain ont été impactées sur la production, ainsi que financièrement. Pour les spécialistes en cybersécurité, ces affaires ont eu un effet sur les directions des grandes entreprises. « Nous n'avons plus à faire peur », peut-on entendre du côté des RSSI.

Des programmes morcelés et un début poussif sur le RGPD

Par contre sur le plan de la maturité, il y a encore des efforts à mener, souligne l'étude. Il existe beaucoup de disparités entre les secteurs d'activité sur les efforts en matière de cybersécurité. Wavestone réalise un index sur 20 pour évaluer cette maturité à partir de 14 critères pondérés (souscription d'une cyberassurance, implication du comité exécutif, sensibilisation et formation, etc.). Parmi les bons élèves, on retrouve les technologies de l'information (11,16) et la finance (10,88). La cuillère de bois revient à l'agroalimentaire avec un index de maturité de 6,51. L'industrie (8,37) et les services (9,34) se rapprochent doucement de la moyenne.

Autre enseignement, pour un quart des entreprises du CAC 40, la problématique de cybersécurité est du ressort du comité exécutif. Au pire 12,5% des entreprises disposent d'une instance régulière avec le comité exécutif sur ce sujet. Sur les plans d'action, 75% des sociétés cotées indiquent avoir installée des programmes de déploiement de mesures de sécurité et seulement 12,5% lancent des programmes de cybersécurité. Mais les rapports annuels restent mutiques sur le montant des investissements. Par expérience, Wavestone estime que ces investissements peuvent aller de 50 millions à 900 millions d'euros.

Et le RGPD ? Wavestone s'est penché sur la mention du règlement général sur la protection des données au sein des rapports annuels. Sur l'ensemble des entreprises, seul 58% font référence au RGPD. Les plus en pointe sont la finance et les technologies de l'information en mentionnant le RGPD, mais aussi la mise en place d'un DPO et/ou d'un programme de conformité, ainsi que d'une instance de contrôle. Enfin tout aussi inquiétant, les innovations technologiques comme l'IA, l'IoT ou la Blockchain ne font pas de lien avec les problématiques de cybersécurité. Des efforts encore à faire de côté-là.