Comment évoluent la cybersécurité des entreprises et leur perception de la menace ? C’est à cette question que tente de répondre le baromètre annuel du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN). Chaque année, depuis 2015, les membres du Club, responsables cyber d’entreprises sont sollicités. L’édition 2023 a été publiée ce 29 janvier.
Les entreprises mieux préparées, mais subissant légèrement plus d’attaques
Un peu plus de 450 directeurs cybersécurité ou responsables sécurité des systèmes d’information, venant très majoritairement de grandes entreprises et entreprises de taille intermédiaire ont répondu à l’enquête menée par OpinionWay en décembre. Mylène Jarossay, présidente du CESIN, estime que le nouveau cru « confirme l’impression de l’année précédente, avec une croissance de la menace et une croissance de la défense ».
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
L’identification multi-facteurs et les EDR, des logiciels de détection des menaces, sont devenus des classiques auprès du traditionnel pare-feu. En moyenne, les répondants ont une quinzaine de logiciels de cybersécurités. À prendre en compte que les grands groupes peuvent facilement en compter une cinquantaine. 45 % des répondants ont affirmé que la sécurité représente 5 % ou plus du budget informatique. Un niveau communément jugé de minimum requis.
66 % des répondants estiment que le nombre d’attaques contre leur structure est resté stable tandis que 23 % trouvent qu’il a augmenté. Les opérations réussies augmentent d’une année sur l’autre, mais légèrement : 49 % en ont été victimes, 65 % avec un impact sur les affaires de leur groupe.
Les voies d’accès sont des classiques, avec en tête de liste le phishing, l’exploitation de failles. L’un des deux grands mouvements concerne la hausse du nombre d’attaques par déni de services, l’envoi d’un grand nombre de requêtes pour saturer un site jusqu’à le mettre hors ligne.
Pour le CESIN, ce type d’attaque est symptomatique de tensions géopolitiques et politiques. À noter que beaucoup de professionnels redoutent le cyberespionnage. À l’inverse, l’arnaque au président, une personne malintentionnée se faisant passer pour un membre de la direction pour obtenir ce qu’il souhaite, est en baisse. Attention prévient Alain Bouillé, délégué général du CESIN, l’IA pourrait refaire partir le phénomène à la hausse.
Résultat intéressant sur les attaques elles-mêmes, les rançongiciels, particulièrement redoutés ces dernières années, seraient en voie de stabilisation. Un événement en soi. Le phénomène « Reste prégnant », mais « cela commence à s’essouffler un peu » constate le directeur général du CESIN. L’amélioration des défenses, les paiements de rançons plus rares, rendrait le procédé moins attractif et donc moins lucratif.
La réglementation sur la cybersécurité est à surveiller en 2024
La loi LOPMI (loi d’orientation et de programmation du ministère de l’Intérieur), qui visait à augmenter le nombre de plaintes pour une cyberattaque en y conditionnant une indemnisation des assurances semble avoir un succès mitigé. 59 % ont porté plainte, contre 54 % l’année précédente. Sur les assurances, 7 répondants sur 10 disent en avoir une, mais les trois quarts d’entre eux n’y ont pas eu recours lors d’attaques réussies.
En se tournant vers 2024, l’année s’annonce très mouvementée. Les Jeux olympiques font craindre une explosion des attaques, tandis que plusieurs normes européennes vont avoir un fort impact sur le monde cyber. 58 % pensent être touchés par NIS2 (Network and Information Security), qui contraignent les entreprises dans certains domaines à élever leur cybersécurité. Beaucoup ignorent encore s’ils tombent sous le coup de cette directive. L’Agence nationale de la sécurité des systèmes d’information mène des consultations pour préparer les groupes français à la mise en œuvre de NIS2.