La cybersécurité, le casse-tête des entreprises

A lire !

Rien n’est vraiment acquis en matière de cybersécurité. Si les entreprises y consacrent une partie de leur temps et de leur budget, c’est qu’elles sont conscientes des enjeux et surtout des conséquences que ces attaques pourraient avoir sur leur business.

Le CESIN, avec OpinionWay, a lancé une nouvelle enquête auprès de ses membres afin de connaître :

  • la perception de la cybersécurité et de ses enjeux au sein des entreprises membres du CESIN
  • la réalité concrète de la sécurité informatique des grandes entreprises.

.Ce sondage OpinionWay pour le CESIN porte sur un échantillon de 282 répondants, membres du CESIN.

En 2021 plus d’une entreprise sur deux déclare avoir subi entre une et trois attaques cyber au cours de l’année. Ce chiffre tient compte uniquement des attaques réussies, ayant eu des répercussions flagrantes pour les victimes.

L’ampleur des attaques sont exponentielles. 6 entreprises sur 10 ont connu un impact sur leur business, avec pour principaux retentissements une perturbation de la production (21%), et/ou une compromission d’information (14%), et/ou une indisponibilité du site web pendant une période significative.

Le télétravail, un véritable impact

De surcroît, les entreprises ont dû revoir massivement leurs dispositifs de sécurité dans le contexte de crise sanitaire et d’intensification du télétravail. 63% d’entre elles ont généralisé le recours à l’authentification multi-facteurs (MFA) et 70% ont mené des campagnes de sensibilisation liées aux risques de ce nouveau mode de travail pour beaucoup de salariés.

Contracter une assurance, une protection nécessaire ?

 69% des répondants affirment avoir souscrit une cyber-assuranceLes premiers bilans révèlent un moindre taux de satisfaction pour ceux qui ont eu recours. Lors de récentes réunions des membres du CESIN, nombre d’entreprises se sont déclarées hésitantes à un renouvellement de leur contrat, ce qui pose question sur l’avenir de ce marché. Le CESIN note globalement une hausse exponentielle des tarifs, pour une baisse des couvertures et des niveaux d’exigences de la part des assureurs, quasiment inatteignables.

Les budgets alloués à la cybersécurité sont encore en hausse cette année70% des entreprises confirment cette tendance, contre 57% en 2020. Elles sont 56% à vouloir allouer plus de ressources humaines à leur organisation84vont acquérir de nouvelles solutions techniques, tandis que 62% d’entre elles ont recours aux offres innovantes issues de start-up.

 

De quels types d’attaques, s’agit-il ?

  • Le phishing est le mode attaque le plus fréquent (73% en ont été victimes), tandis que l’arnaque au président touche cette année une entreprise sur deux, soit plus que ce que l’on pourrait croire. Le phishing a pour objectif de récupérer des données personnelles sur internet. Le moyen utilisé est l’usurpation d’identité, adaptée au support numérique. L’escroquerie repose le plus fréquemment sur la contrefaçon d’un site internet (celui d’une banque ou d’un marchand en ligne) qui sont difficiles à discerner pour l’internaute (couleurs identiques ou logos similaires d’un site habituel, par exemple. Les mails comportent un avertissement et une demande d’action urgente comme « votre compte sera suspendu si vous ne payez pas la somme de… Cette somme est souvent dérisoire et incite l’internaute à répondre dans l’urgence par peur de se priver d’un service dont il a besoin (téléphone, EDF, impôts…). Il invite l’internaute à se rendre sur une page de formulaire sur laquelle on lui demandera et récupérera ses données personnelles, souvent à caractère financier (coordonnées bancaires). Ces mails s’accompagne pa d’une pièce jointe généralement présentée comme une facture. Le message est rédigé de sorte à inciter l’internaute à ouvrir cette pièce jointe qui aura pour conséquence l’insertion de virus.
  • le shadow IT est le cyber-risque le plus répandu, cité par 64% des répondants comme étant un cyber-risque à traiter.  De quoi s’agit-il ? Pour être performants, pour communiquer sans perdre de temps, les collaborateurs utilisent des applications, des services, des fonctions de stockage et de partage d’information sans passer par la DSI. Mais cette pratique regrettable, le shadow IT, met en danger la sécurité de l’entreprise, car elle contourne les mesures de gestion, d’intégration, de protection et de conformité nécessaires établies dans l’entreprise pour la protéger.

Cloud et IoT : la panacée de la cybersécurité ?

Toutes les entreprises interrogées (98%) estiment que la transformation numérique a un impact sur la sécurité des systèmes d’information et des données. En cause le recours massif au Cloud, utilisé par 87% des entreprises dont 52% dans des Clouds publics. Ce mode de stockage a pour binôme des problèmes de non-maîtrise dont on doit tenir compte, que ce soit par rapport à l’accès aux données de l’entreprise par les hébergeurs (via les administrateurs ou autres) ou par rapport à la chaîne de sous-traitance pratiquée par le fournisseur.

En ce qui concerne l’IoT, l’effet le plus pervers se trouve dans les failles de sécurité présentes dans ces objets qui ont fait d’ailleurs l’objet d’interventions d’experts au CES de Las Vegas. Il s’agit pour les responsables sécurité des systèmes d’information (RSSI) de ne pas se contenter des solutions de sécurité proposées par les prestataires de service Cloud et de disposer d’outils de sécurisation supplémentaires par rapport à ceux proposés par le prestataire, d’après 89% d’entre eux et donc de savoir que les IoT utilisent le biais d’internet qui peut comporter des failles de sécurité.

Comment affronter les cyber-risques ?

Pour contrer ces cyber-risques, les RSSI utilisent des solutions techniques adaptées à leurs besoins (75%), même si des innovations seront nécessaires pour les adapter à la transformation numérique. L’intelligence artificielle (IA) semble rencontrer l’adhésion : 56% des répondants ont mis en place des solutions basées sur l’IA ou envisagent de le faire ; cependant, 55% estiment que l’IA ne se substituera pas à l’expertise humaine en matière de sécurité.

Il est à noter que les RSSI sont moins confiants qu’en 2017 quant à la capacité de leur entreprise à faire face aux cyber-risques (51% sont confiants, -12 points). Moins d’un sur deux considère en particulier que son entreprise est préparée à gérer une cyber-attaque de grande ampleur. Dans ce cadre, on peut constater que les souscriptions de cyber-assurance sont en hausse (+10 points), mais seule une entreprise sur dix a mis en place un véritable programme de cyber-résilience.

Quels sont les enjeux ?

D’après les RSSI, l’enjeu principal pour l’avenir de la cybersécurité est celui de la formation et de la sensibilisation des utilisateurs (61%). Les usages des salariés apportent en effet leur lot de risques, notamment via le shadow IT. Même si les salariés sont informés, ils restent peu concernés car on peut constater qu’ils ne suivent pas forcément les consignes données. Un important travail de sensibilisation reste à faire.

La gouvernance de la cybersécurité doit également être placée au bon niveau pour 60% des RSSI. Malgré un impact positif de la mise en conformité RGPD sur la gouvernance (59% des entreprises), la confiance en la capacité des COMEX à prendre en compte les enjeux de la cybersécurité est très inégale en fonction des secteurs d’activité.

Les ressources humaines doivent recruter des profils qui puissent répondre à la protection des entreprises.

Plus d'articles

Derniers articles