Les études sur la cybersécurité se suivent mais ne se ressemblent pas nécessairement. Ainsi, le rapport élaboré par Wavestone a pour ambition de connaître le niveau de maturité des entreprises dans ce domaine. Le cabinet de conseil a mené ses travaux sur 3 ans auprès de 75 clients tous secteurs confondus, avec les 2/3 comprenant plus de 10 000 salariés. 200 questions ont été posées aux sociétés choisies en se basant sur les référentiels NIST CSF et les normes ISO 27001/2.
46% de taux de maturité, mais des grands écarts selon les secteurs
Dans « ce contrôle technique de la cybersécurité des entreprises », le niveau global est relativement faible avec 46%. « Mais dans le détail, il existe des différences entre les secteurs d’activité », souligne Gérôme Billois, associé en charge de la cybersécurité au sein de Wavestone. Au fond du classement global, on retrouve les services (42,5%) et le service public (36,9%). Par contre, deux secteurs sortent du lot, « la finance qui atteint 54,4% et 51,8% pour l’énergie ». Pour expliquer ce bon niveau, « il s’agit de marché régulé et la réglementation comme la loi de programmation militaire ou la directive européenne NIS, a un impact », observe l’analyste. Les secteurs réglementés affichent une maturité de 55,4% contre 43,3% pour ceux qui ne le sont pas.
La maturité des organisations françaises restent insuffisantes et varient beaucoup selon les secteurs.(Crédit Photo: Wavestone)
Cette distinction se retrouve aussi dans les budgets consacrés à la sécurité. Sur le plan global, ils sont estimés en moyenne à 6,1%, ce qui les situent dans la fourchette basse des préconisations de l’Anssi. Mais les écarts sont énormes entre le plus haut de l’échantillon (18%) et le plus faible (1%). « Dans la finance, les investissements sont compris entre 100 à 800 M€ et pour l’industrie entre 15 et 20 M€ », glisse Gérôme Billois. Il constate que les budgets sont en hausse sous l’effet de trois facteurs, « le premier est mon voisin ou concurrent s’est fait attaquer, est-ce que je suis suffisamment protégé ; ensuite il y a l’effet pandémie avec des demandes de sécurisation des postes distants. Enfin, il y a l’invasion de l’Ukraine par la Russie où les sociétés cherchent à isoler leurs activités russes et éviter des attaques par débordement ».
La cybersécurité n’est qu’une question d’argent, mais aussi de ressources humaines. Le rapport constate qu’en moyenne il y a un spécialiste cyber pour 548 salariés. Là encore, il existe un grand écart entre les secteurs plus matures comme la finance (1 spécialiste pour 373 salariés) et ceux qui le sont moins comme le secteur public (1 spécialiste pour 2274 salariés). « Dans la finance, le contrôle et l’audit sont internalisés, alors que dans d’autres secteurs, ces fonctions sont externalisées », indique Gérôme Billois pour expliquer ces écarts. Il rappelle aussi la pénurie de compétences avec 15 000 postes à pourvoir dans la filière cyber.
Des points forts et des points faibles
Wavestone ne dresse pas un tableau complétement noir de la maturité cyber des entreprises. « Par exemple, sur la protection des endpoint et la mise en place du MFA (authentification multifacteur), il y a eu des progrès », reconnait le consultant. Sur la partie EDR, 51% des organisations ont commencé à le déployer et 61% du MFA pour les utilisateurs (71% pour les administrateurs). Sur la sécurisation de l’Active Directory (le saint Graal des pirates), les travaux sont en cours avec 73% des sociétés réalisent des tests d’intrusion chaque année et 45% disposent d’outils spécifiques. Petit bémol sur ce thème, l’administration de l’AD et notamment son isolation, pourtant fortement recommandée par l’Anssi, demeure encore faible. La gestion de crise commence aussi à percer dans les entreprises avec 82% des répondants à avoir des processus de gestion de crise, mais seulement 47% à mener des exercices régulièrement.
Si des efforts sont visibles dans certaines activités, le rapport alerte sur plusieurs points noirs. Sur la partie application, la plupart des entreprises ont déployé des WAF (72%), mais par contre la maturité sur le security by design et l’intégrité du code (36%) laisse à désirer. « C’est comme si on vous vendait une voiture qu’on livre sans airbag, ni ceinture de sécurité », résume Gérôme Billois. Le cloud souffre également d’un manque de maturité (36,1%), « la sécurisation de l’accès à la console d’administration des services de cloud public est trop faible », remarque le consultant. Enfin, dernier domaine à surveiller, les systèmes industriels (l’OT), « un sujet nouveau, avec des points encourageants avec la moitié des sociétés à mettre en place une équipe dédiée et 66% à avoir installé des pare-feux », note-t-il.