Le Club des Experts de la Sécurité de l’Information et du Numérique a diffusé les résultats de sa cinquième grande enquête OpinionWay pour le CESIN, début janvier 2020.
Afin de mieux cerner la perception de la cybersécurité et de ses enjeux au sein des grandes entreprises françaises, le CESIN publie chaque année depuis 2015, son baromètre annuel avec OpinionWay et n’hésite pas à diffuser les résultats de cette enquête indépendante et exclusive menée auprès de ses membres, Responsables Sécurité des Systèmes d’Information (RSSI) des grands groupes français.
Cyber-attaque, kesako ?
« La cyber-attaque est le fait de subir un acte malveillant envers un dispositif informatique portant atteinte de manière significative à la confidentialité et/ou à l’intégrité de l’information de l’entreprise ou encore à la disponibilité du système d’information entraînant des pertes financières significatives et/ou une atteinte à l’image de l’entreprise. »
Le Phishing, vecteur d’attaque le plus fréquent
79% des entreprises en ont été victimes, l’arnaque au Président touche encore 47% d’entre elles, suivi par l’exploitation des vulnérabilités (43%) ou l’ingénierie sociale (35%). Ces attaques ont pour conséquences principales l’usurpation d’identité (35%), l’infection par un malware (34%), le vol de données personnelles (26%) et l’infection par ransomware (25%).
L’engouement pour la cyber-assurance
La prise de conscience des risques entraîne la cyber-résilience et conforte le recours encore plus marqué à la cyber-assurance. 91% des entreprises mettent en place un programme de cyber-résilience ou envisagent de le faire. Une tendance forte qui se confirme avec 12 points de plus qu’en 2019. En parallèle, 60% des entreprises ont souscrit à une cyber-assurance et 13% sont en cours de souscription, une hausse constante ces trois dernières années ce qui renforce cette perception de prise de conscience des cyber-risques.
Cloud, IoT et IA : des risques accrus avec la transformation numérique
Le recours massif au cloud, utilisé par 89% des entreprises, dont 55% stockent une partie de leurs données dans des clouds publics, fait partie des risques les plus élevés. En tête la non-maîtrise de la chaîne de sous-traitance de l’hébergeur (50%), la difficulté de mener des audits (46%), et la non maîtrise de l’utilisation du cloud par les salariés (46%). Ainsi, pour pallier ce manque de sécurité, 91% des entreprises estiment que des outils et/ou dispositifs spécifiques doivent être mis en place.
Les objets connectés, de nouveaux risques
Ils font apparaître de nouvelles typologies de menaces dues à l’absence de chiffrement pouvant porter atteinte à la confidentialité des données, ou l’absence d’authentification avec des accès non protégés… Selon les RSSI les défis majeurs à relever en ce qui concerne l’IoT sont les failles de sécurité présentes dans ces équipements (43%) et le flou dans l’appréciation des risques potentiels (28%).
L’IA reste une technologie embarquée surtout dans les outils de supervision (SIEM), l’acquisition volontaire de solutions utilisant l’IA reste cantonnée à un faible nombre d’entreprises, le frein principal étant le faible niveau de confiance accordé (47%).
Les salariés pèchent-ils par négligence ?
Près de la moitié des entreprises (43%) indique que le risque cyber le plus répandu est la négligence des salariés. Le Shadow IT est massivement répandu, mentionné par 98% des répondants comme étant une menace à traiter. En effet, l’usage notoire des applications et services cloud le plus souvent gratuits, s’est banalisé et échappe toujours au contrôle de la DSI. Cela accroît significativement les risques, comme les fuites de données via les outils de transfert d’information ou de partage de fichiers volumineux. D’autant que l’utilisation même anecdotique d’un service Cloud non sécurisé, peut suffire à compromettre l’intégrité et la sécurité des données de l’entreprise.
mais pourtant sensibilisés
Les salariés sont pourtant sensibilisés aux cyber-risques (74%), cependant d’après les RSSI, ils sont seulement la moitié à respecter les recommandations. Ainsi, pour tenter de mobiliser les salariés plus durablement, 77% des entreprises ont mis en place des procédures pour tester l’application des recommandations par les salariés.
Les entreprises françaises sont-elles en capacité de défendre leurs infrastructures ?
La confiance des RSSI quant à la capacité de leur entreprise à faire face aux cyber-risques n’a pas progressé en un an, seuls 52% se disent confiants. 4 entreprises sur 10 se disent préparées en cas de cyber-attaque de grande ampleur.