« La menace est toujours croissante, mais le répondant s’organise », indique Mylène Jarossay, présidente du Cesin à l’occasion de la présentation du 9ème baromètre sur la cybersécurité des entreprises françaises. Un peu plus de 450 d’entres elles ont donc répondu aux questions et donnent un panorama des défis adressés en 2023. Plusieurs enseignements sont à observer dans cette étude.
En premier lieu, le club constate une certaine stabilité sur les attaques réussies (ayant un impact significatif) où 49% des sondés ont constaté au moins une cyberattaque. C’est un peu plus qu’en 2022, mais 66% jugent stables ces campagnes par rapport à l’année précédente. Ces chiffres sont à mettre en parallèle avec l’indice de confiance dans les offres de cybersécurité (89%). « Les entreprises ont considéré que les solutions ont joué leur rôle et ont réussi à arrêter des attaques », glisse Alain Bouillé, délégué général du Cesin.
Déni de service en forte hausse et l’exposition des données fait son entrée
Concernant les vecteurs d’attaque, l’observatoire constate que le phishing et ses déclinaisons restent en haut de l’affiche malgré une baisse de 14 points. La surprise est venue de la résurgence des campagnes de déni de service (+11 points) où « le contexte géopolitique et les conflits sociaux ont joué un rôle », remarque le responsable. Sur la menace ransomware, il note « un certain essoufflement et cela rapporte moins ». Paraphrasant Fernand Raynaud, il estime que « le ransomware ne paye plus » laissant supposer que les sociétés refusent le paiement des rançons.
Les conséquences sont hélas connues avec le vol de données ou l’usurpation d’identité. Mais le Cesin innove en éditant une autre conséquence, l’exposition des données, « il s’agit par exemple d’un défaut de configuration qui a donné une visibilité des données sur Internet. Cela n’est pas constitutif d’une attaque, mais avec 29% des répondants, il s’agit d’un critère non négligeable », analyse Mylène Jarossay.
L’IA, une inquiétude en devenir
En filigrane de l’observatoire, l’IA - en particulier générative - est un vecteur d’inquiétude dans les prochains mois. Pour 30% des répondants, la technologie est déjà utilisée par les métiers et les équipes de développement, mais sans adoption d'une stratégie de sécurité ad hoc. Si on ajoute les 16% se servant de l’IA et ayant une stratégie de sécurité dédiée, prés de la moitié des RSSI sont donc confrontés à cette vague. « On peut voir la bouteille à moitié vide ou à moitié pleine », note Alain Bouillé, car 43% des sondés déclarent que l’IA n’est pas utilisée « officiellement » et s’apparente au shadow IT.
« Le problème du shadow IT est très prégnant surtout avec le développement de l’IA générative. Les entreprises ont beaucoup de mal à le gérer », analyse la présidente du Cesin. Elle pourrait même redonner un coup de boost à des attaques pourtant en retrait comme l’arnaque au président (en chute de 13 points). On ne s’étonnera donc pas que parmi les enjeux prioritaires des RSSI, l’adaptation des solutions de sécurité aux transformations numériques de l’entreprise (y compris IA) arrive en tête.
Une maturité sur le MFA, l’EDR et le zero trust
En termes d’outillage, les entreprises sondées gagnent en maturité sur certains points. Ainsi l’authentification multifacteur (MFA) continue sa progression +8%. Alain Bouillé souligne que « depuis le Covid, ce système a fait ses preuves et se développe au sein des entreprises ». C’est le cas aussi pour l’EDR, « un outil devenu indispensable » pour le responsable et qui convertit 54% des répondants. Parmi les surprises, le sursaut observé des solutions d’IAM (gestion des identités et des accès) qui s’explique probablement par l’adoption de solutions SaaS au sein des entreprises. En moyenne, les entreprises disposent d'environ 15 produits de cybersécurité (jusqu'à 50 dans les grandes entreprises).
Sur les concepts de cybersécurité, le zero trust commence à acquérir une certaine maturité, relève l’observatoire. Parmi ceux en devenir, il y a le VOC (vulnerability operation center), « la gestion des vulnérabilités devient une industrie. Avec la forte croissance des failles, il est nécessaire d’avoir une tour de contrôle pour les piloter », admet Mylène Jarossay. Dans le scope du Cesin, le CAASM (cyber asset attack surface management) pointe le bout de son nez, « il s’agit d’une réponse de l’évolution des SI vers le cloud », souligne la présidente.