« La multiplication des cyber-attaques et la crise sanitaire (avec ses effets) ont bousculé la cybersécurité en 2020 » a constaté Alain Bouillé, délégué général du Cesin (Club des experts de la sécurité de l'information et du numérique), en présentant les résultats de la sixième vague du Baromètre de la Cyber-Sécurité des Entreprises. Cette étude annuelle de l'association des RSSI français est réalisée par l'institut OpinionWay et couvre cette fois l'année 2020. 228 membre du Cesin (pour plus de la moitié des RSSI d'entreprises de plus de 5000 salariés) ont participé à l'enquête en répondant au questionnaire en ligne.

L'enquête étant réalisée au sein des membres du Cesin, association de RSSI, il y a donc un biais évident par rapport à d'autres enquêtes : il faut que l'entreprise ait un RSSI et une certaine maturité en matière de cybersécurité, d'où une sur-représentation des grandes entreprises. Certains résultats pourraient aussi, de ce fait, rendre plus optimiste que nécessaire. Une autre précaution oratoire a été prise par Alain Bouillé : le concept de cyber-attaque est ici restreint à un acte ayant entraîné une perturbation et nécessité une intervention du RSSI. Autrement dit : les pings en rafale, les tentatives de pénétration automatisées bloquées par les firewalls les plus basiques, etc. ne sont pas comptés. Là encore, cette définition implique une baisse significative des événements par rapport à d'autres études mais a le mérite de mettre en relief les véritables menaces.

Plus d'une entreprise sur deux victime d'une attaque significative

Malgré toutes ces limitations, 57 % des entreprises ont constaté au moins une cyber-attaque, 7 % en ayant subi 15 ou plus. En moyenne, 3,6 attaques ont été constatées par entreprise. Pour 51 % des répondants, il y a une relative stabilité des menaces par rapport à l'année précédente mais 41 % jugent qu'il y a eu croissance. Le premier vecteur d'attaque reste le phishing (80 % des entreprises touchées) et l'exploitation d'une faille le deuxième avec 52 %. « L'arnaque au président n'est pas une cyber-attaque mais une arnaque » a relevé Alain Bouillé, ce type de menace restant tout de même important.

Côté conséquences, le tiercé de tête est constitué d'abord du vol de données (30 % des entreprises), du déni de service (29%) et du chiffrement de données par ransomware (24%). En symétrie, le Cesin s'est interrogé sur les causes. En tête, le shadow IT se taille la part du lion : 44 % des entreprises l'ont mentionné. Suivent les vulnérabilités permanentes (36%), les cyber-attaques opportunistes (36 %, par exemple du phishing sur de la vente de masques)... Les attaques ciblées sont loin derrière mais bien présentes (24%). Dans 56 % des cas, les menaces sont liées à du cyber-espionnage. 58 % des RSSI interrogés avouent des impacts business, 27 % au niveau de la production et 16 % en termes d'indisponibilité du site web.

Le ransomware, star de l'année

Bien entendu, le ransomware (ou rançongiciel) est la vedette de l'année. 17 % des répondants ont subi un chiffrement de données, 6 % un chantage à la divulgation. En cumul, 19 % des entreprises ont ainsi été victimes effectives de ransomwares. « Le chiffre peut paraître faible mais une entreprise sur cinq, c'est énorme » a insisté Alain Bouillé. Pour Alain Bouillé, ce chiffre est cependant probablement très sous-estimé parce que « le ransomware marque surtout par la multiplication des petites victimes », autrement dit en dehors du viseur du Cesin. Face à un tel niveau de menace, les comités exécutifs semblent assez globalement sensibilisés aux risques de cybersécurité : 72 % des répondants estiment que leur comité exécutif est sensibilisé.

Un certain nombre de réactions sont bien sûr opérées par les RSSI. D'abord, la sensibilisation des utilisateurs (83 % des répondants), bien sûr. Les salariés sont jugés sensibilisés dans 77 % des cas mais 63 % des RSSI pensent que les salariés ne respectent pas les recommandations qu'ils connaissent. Evidemment, les RSSI ne se contentent pas d'une telle sensibilisation. Ainsi, sont opérés des scans de vulnérabilités (61%), des analyses avec filtrage des mails (56%), un accroissement des capacités de détection des SOC (56%), un durcissement des Active Directory (53%), un déploiement d'EDR (48%)... Les attaques finissant souvent par déboucher sur une pénétration, la capacité à détecter un intrus devient primordiale. Pour Alain Bouillé, « 2020 est aussi l'année du SOC. »

Satisfecit relatif aux solutions du marché

En moyenne, les entreprises ont installé 9,7 solutions de sécurité du marché. 5 % des RSSI jugent ces solutions tout à adaptées et 80 % plutôt adaptées. Outre les anti-virus et firewalls de base (le Cesin n'a pas posé de question à leur sujet), 90 % des entreprises ont déployé un VPN, 83 % un proxy avec filtrage d'URL, 77 % une passerelle de sécurité mail, 73 % une authentification multifacteur (ou MFA)... 59 % des RSSI s'estiment de ce fait prêts à détecter une cyber-attaque massive, 4 % se déclarant tout à fait prêts. A l'inverse, contrairement à ce qui avait été anticipé, les Cloud Access Security Brokers (CASB) ne décollent pas (15 % des entreprises en utilisent). Le « couple à succès de l'année » est plutôt composé du MFA (jugé efficace par 51 % des RSSI) et de l'EDR (Endpoint Detection and Response). L'approche Zero Trust commence à se développer. 6 % seulement des entreprises se déclarent très engagées sur cette voie, 23 % ayant commencé une mise en oeuvre. Reste le sujet du cloud : si toutes les entreprises ont des données dans le cloud, la non-maîtrise de ce que fait effectivement le prestataire est un facteur évident de risque et 75 % des RSSI jugent qu'il faut rajouter des outils de sécurité sur ceux fournis par les prestataires de cloud.

Si l'amont d'une cyber-crise semble plutôt bien traité, le Cesin ne peut que regretter que la réaction à une crise effective est déficiente. 13 % seulement des RSSI opèrent des exercices réguliers de cyber-crise, 20 % ayant déjà fait des exercices. Un point particulier est critiquable : la communication. Pour Alain Bouillé, « la communication est pitoyable, il faudrait arrêter de prendre les gens pour des idiots. » Autre faiblesse de la gestion de crise : le petit nombre de dépôts de plaintes. 47 % des victimes portent plainte, 12 % systématiquement, 35 % dans certains cas. Il est vrai que 15 % des plaintes débouchent sur une identification de l'attaquant. Reste à savoir combien d'identifications se révèlent utiles (une bande de pirates à l'autre bout du monde, même identifiée, n'a pas grand'chose à craindre des foudres de la justice).

Le cyberassureur loue des parapluies sauf quand il pleut

Le premier motif de dépôt de plainte est bien sûr l'exigence des cyber-assureurs pour activer une protection. 24 % des entreprises ont fait appel à leur cyber-assureurs : 14 % déclarent que cela s'est bien passé, 10 % que la prise en charge a été « compliquée ». Maintenant que le nombre d'entreprises qui souscrit de telles polices de cyber-assurance s'accroît, les assureurs rechignent de plus en plus à indemniser. Contractualiser est d'ailleurs de plus en plus compliqué, les questionnaires préalables étant de plus en plus détaillés et intrusifs. « La cyber-assurance n'est pas l'Eldorado qui avait été promise ces dernières années » tranche Alain Bouillé.

Pour terminer, le sujet de l'année, bien sûr, a été la crise sanitaire et ses conséquences. L'impact sur la cybersécurité a été surtout focalisé sur deux thèmes : la généralisation du télétravail (37%) et la croissance du nombre d'attaques (35%). Malgré la forte pression économique, seulement 10 % des RSSI déplorent une baisse des budgets, 43 % bénéficiant même d'un budget augmenté. Alain Bouillé constate : « la cybersécurité bénéficie d'un budget préservé durant la crise sanitaire ».