Des entreprises mieux armées, face à des menaces qui continuent à monter en puissance. C'est en somme le bilan que dresse le 9e baromètre de la cybersécurité des entreprises, mené par Opinionway pour le Cesin, le Club des experts de la sécurité de l'information et du numérique. Basée sur les réponses de 456 membres de l'association (48% étant des grandes entreprises et 40% des ETI), l'enquête confirme l'effort constant que consentent les organisations françaises pour se protéger des cybermenaces : 45% d'entre elles consacrent 5% ou plus de leur budget IT à la cybersécurité, soit la même proportion qu'un an plus tôt.
Les RSSI interrogés s'estiment plutôt bien ou très bien protégés en particulier dans les phases amont : 76% d'entre eux affirment ainsi que leur organisation a mis en oeuvre les moyens de prévention et de protection adéquats et une proportion similaire juge les moyens de détection déployés satisfaisants. En la matière, parmi les solutions jugées très efficaces, 61% des répondants mettent en avant l'authentification multifacteurs (MFA), soit 8 points de mieux qu'il y a un an, et 54% les systèmes de détection et réponse pour endpoints (EDR), un bond de 9 points en un an. Au sein du panel interrogé, seulement 5% des entreprises n'ont pas encore déployé ces solutions.
L'entraînement aux crises gagne du terrain
En parallèle de ces deux outils clefs dans la modernisation de leurs pratiques, les DSI adoptent peu à peu les nouvelles postures de cybersécurité, comme le zéro trust, qui implique de ne faire confiance a priori à aucune activité sur le réseau. Le concept est en place dans une entreprise ou administration sur quatre et en projet dans 51% supplémentaires. Le déploiement d'un centre opérationnel de gestion des vulnérabilités (VOC, pour Vulnerability operation center) est effectif ou en projet dans une entreprise sur deux. Et 45% des organisations ont déployé ou - le plus souvent - entamé le déploiement du Sase (Secure Access Service Edge), un concept adaptant la cybersécurité aux architectures hybrides incluant le cloud.
Seuls 8% des RSSI s'estiment très bien préparés à réagir à une crise cyber et à reconstruire le SI après une cyberattaque.
Si les RSSI se montrent confiants sur leur niveau de préparation et de protection, ils le sont un peu moins sur leurs capacités de réaction à une cyberattaque (61% s'estiment plutôt ou tout à fait bien préparés) et de reconstruction du SI après une attaque (51%). Si la part des entreprises qui pratiquent régulièrement des exercices d'entraînement aux crises cyber est en nette progression (à 28%, elle gagne 9 points en un an), la plupart des dispositifs qu'elles ont choisi de renforcer en 2023 concernent toujours et encore les phases amont, soit la prévention, la protection et la détection. Le Cesin estime toutefois que l'entrée en vigueur de Dora et, surtout, de NIS2 va accélérer les investissements des organisations sur leurs capacités de réaction et de reconstruction à une cyberattaque. Même si des interrogations subsistent quant au périmètre de NIS2, 58% des membres du club se disent concernés par l'entrée en vigueur de la réglementation européenne.
DDoS : le retour de la menace
La préparation à la crise est d'autant plus importante que, malgré le renforcement des défenses, les cyberattaques ne faiblissent pas. 49% des entreprises ont subi une attaque avec un impact significatif sur leur activité en 2023, un niveau bien moindre que ceux constatés entre 2019 et 2021, mais supérieur à celui de 2022. Deux tiers des RSSI sondés jugent que le nombre de cyberattaques est resté stable sur un an.
Notons tout de même que les attaques DDoS ont significativement progressé en un an (+11 points). Une organisation sur trois en a essuyé au moins une qu'elle n'est pas parvenue à contrer totalement. Conséquence : 22% des répondants indiquent que leur administration ou entreprise a connu une indisponibilité significative de son site web en 2023, là encore une nette progression par rapport à l'an dernier.
En complément :
- NIS2 : extension du domaine réglementé dans la cybersécurité