Réunissant à ce jour 634 membres, le Cesin (club des experts de la sécurité de l'information et du numérique) vient de livrer - quelques dizaines d'heures après le Panocrim 2019 du Clusif - la 5e édition de son baromètre annuel. Ayant pour objectif de mesurer la perception et la réalité en matière de cybersécurité par les entreprises et administrations françaises, ce dernier a été réalisé par Opinion Way auprès de 253 membres du Cesin ayant répondu entre le 2 décembre 2019 et 7 janvier 2020. Parmi les principaux enseignements de l'enquête, il ressort que 65% des entreprises ont constaté au moins une cyberattaque au cours de l'année écoulée, dont 10% 15 ou plus. S'agissant de l'accroissement de leur nombre, une grande majorité d'entreprises (55%) estiment que ce nombre est resté stable tandis qu'elles sont seulement 5% à indiquer une diminution.

En parallèle, près de 4 entreprises sur 10 se disent préparées en cas de cyberattaque de grande ampleur. Dans le détail, elles sont 36% à indiquer être « plutôt » au point et seulement 3% « tout à fait ». Une majorité se dit en revanche « plutôt pas » (47%) voire « pas du tout » au point en cas d'attaque cyber (14%). En revanche, 55% des répondants ont indiqué avoir déjà mis - ou sont en cours de mise en place - un programme de cyber-résilience Concernant les vecteurs d'attaque, le phishing/spear phishing arrive largement en tête (79%) venant les arnaques au président (ou FOVI pour faux ordres de virement) à 47%, devançant aussi l'exploit de vul (43%), les tentatives de connexion (40%) ou encore l'ingénierie sociale (35%). Les conséquences des cyberattaques sont variées et toujours aussi inquiétantes, comprenant en particulier l'usurpation d'identité (35%), l'infection par un malware (34%), mais aussi le vol de données personnelles (26%) sans compter le ransomware (25%).

Phishing/spear phishing est largement en tête des principaux vecteurs d'attaque ayant impacté les entreprises au cours des 12 derniers mois. (crédit : Cesin)

Maturité et pérennité des offres cyber des start-ups en question

« Parmi les outils de protection mis en place dans les entreprises, l’enquête révèle une hausse notable des solutions d’authentification multifacteurs (72%), soit une augmentation de 13 points, et des EDR (34%) avec 14 points de plus qu’en 2019 », souligne le Cesin dans un communiqué. En moyenne, près de 12 solutions sont mises en place dans les entreprises pour assurer leur protection face aux cybermenaces. Cela va des passerelles en sécurité mail, VPN/SSL (85%), en passant par les SSO (71%) ou encore les IDS/IPS (58%). « Les offres innovantes issues de start-up sont adoptées par 42% du panel, pour les 58% qui n’y recourent pas le manque de maturité et la pérennité sont en question », précise également le club. Outre cet aspect, les entreprises ne se penchent pas vers les solutions cybersécurité présentées par des jeunes pousses aussi par manque de temps, manque d'opportunités ou estiment encore une prise de risque trop importante.

Et si pour assurer leur sécurité les entreprises commençaient à se tourner vers une stratégie zero trust ? Bien qu'étant loin d'être récent, ce concept commence à décoller dans les entreprises, sans pour autant être loin de faire l'unanimité. « L’approche Zero Trust fait son entrée dans le baromètre avec une défiance non négligeable. Bien que 30% déclarent étudier la manière dont le modèle va se traduire, 16% sont réellement engagés ou commence à mettre en œuvre ce concept », note le Cesin.

Usurpation d'identité et infection par un malware sont les conséquences les plus fréquemment rencontrées par les entreprises françaises après une cyberattaque. (crédit : Cesin)

La négligence humaine pointée du doigt

« Les objets connectés font apparaître de nouvelles typologies de menaces dues à l’absence de chiffrement pouvant porter atteinte à la confidentialité des données, ou l’absence d’authentification avec des accès non protégés... Selon les RSSI les défis majeurs à relever en ce qui concerne l’IoT sont les failles de sécurité présentes dans ces équipement (43%) et le flou dans l’appréciation des risques potentiels (28%). L’IA reste une technologie embarquée surtout dans les outils de supervision (SIEM), l’acquisition volontaire de solutions utilisant l’IA reste cantonnée à un faible nombre d’entreprises, le frein principal étant le faible niveau de confiance accordé (47%) », indique également le Cesin.

Les dégâts liés aux cyberattaques sont de plusieurs ordres, mais impactent en premier lieu la production pendant une période significative avec incidence directe sur l'activité (27%) voire un arrêt (7%), la disponibilité du site web (17%). Ou encore une perte nette de chiffre d'affaires (9%) et des retards livraison (8%). En termes de causes mises en avant, la négligence ou l'erreur de manipulation d'un salarié est pointé du doigt (43%), devant l'opportunité des cyberattaquants (40%), des applications non approuvées (38%) ou encore des vulnérabilités résiduelles permanentes (36%). La survenance de cyberattaques ciblées est avancée par 21% des répondants. Plus que jamais, le recours à la sensibilisation des salariés apparaît toujours et encore indispensable, bien qu'elle ne date pas d'hier.