Le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN) vient de rendre public son 3ème baromètre annuel en collaboration avec l’institut Opinion Way. L’enquête a été répondu par 142 membres de l’organisation. Les résultats sont loin d’être rassurants.
Le questionnaire de cette troisième vague a étudié 4 grandes thématiques : l’évolution des cyberattaques, l’efficacité des solutions techniques, les perspectives pour l’avenir avec les enjeux de la transformation numérique, et enfin le RGPD avec son impact sur la gouvernance cyber dans les entreprises.
Sur le premier point, tous les répondants ont constaté une recrudescence du nombre des attaques et quasiment tous ont indiqué avoir été attaqué durant l’année (92 %). Un quart d’entre eux ont connu des incidences sur leur activité allant de la perte de chiffre d’affaires à des indisponibilités significatives des sites internet en passant par des arrêts de la production.
Les ransomwares restent l’attaque la plus fréquente (73 %) et les entreprises interrogées ont dû faire face à une ou plusieurs demandes de rançon. 38 % ont subi une fraude externe et 30 % un vol d’information. 25% ont été touchées par des attaques en déni de service et 16 % par une défiguration de site web. Les vulnérabilités résiduelles permanentes et le social engineering sont en hausse avec plus d’une entreprise sur deux touchée.
Des solutions techniques en nombre élevé
Si les solutions de protection présentes sur le marché sont jugées efficaces, elles sont perçues comme pouvant s’améliorer par une meilleure adaptation aux besoins de l’entreprise (22 %) et à la fréquence des attaques (34 %). Le nombre d’outils mis en place reste élevé avec 12 solutions techniques par entreprise en moyenne. Autre tendance forte, la souscription aux cyber-assurances augmente (+14 %). 40 % des répondants disent avoir déjà souscrit et 15 autres pour cent sont sur le point de le faire. 22 % l’envisagent.
Le Cloud, un risque toujours présent
L’usage des environnements Cloud devient majoritaire avec 87 % des entreprises ayant répondu qui y stockent des données (Cloud public ou privé) et la confidentialité des données reste l’enjeu majeur pour la cybersécurité. 94 % des répondants pensent que cela nécessite des outils spécifiques. Le Shadow IT et la sécurisation de l’Internet des objets sont les deux autres thèmes importants relevés. 73 % des RSSI pensent que les salariés sont plutôt bien sensibilisés aux risques mais peu proactifs : 62 % des entreprises ont donc mis en place des procédures de vérification du respect des recommandations par les salariés.
RGPD : une opportunité
La mise en place du RGPD met à contribution les budgets et la charge de travail pour 89% des RSSI ayant répondu. Plus de la moitié d’entre eux ont cependant indiqué qu’ils n’ont pas fini leur projet pour être conforme et qu’ils ne seraient peut-être pas prêt pour la date fatidique du 25 mai prochain. Cependant 83 % considèrent le RGPD comme un réel moyen de renforcer la protection des données.
Un des rôles importants joués par le RGPD reste de faire évoluer la gouvernance autour des données. 71 % sont confiants sur la prise en compte des enjeux de la cybersécurité par le COMEX, et 63 % pensent que leur entreprise a la capacité de faire face aux cyber risques. 81 % déclarent vouloir acquérir de nouvelles solutions techniques, 64 % envisagent d’augmenter les budgets alloués à la protection et 62 % projettent d’accroître les effectifs liés. Des investissements qui font écho à la faible part du budget IT actuellement consacré à la sécurité, soit moins de 5 % pour 31 % des entreprises. D’autre part, pour 52 % des RSSI, la démarche de conformité au RGPD a déjà modifié la gouvernance de l’entreprise en matière de protection de l’information.