52% des responsables sécurité des systèmes d’information d’entreprises françaises se disent confiant dans la capacité de leur entreprise à faire face aux cyber risques. 46% d’entre eux ont constaté une hausse de cyber attaques en 2016.
Qui mieux que les responsables sécurité des systèmes d’information du CESIN (Club des experts de la sécurité de l’information et du numérique), qui réunit en grande partie les groupes du CAC 40, peuvent évoquer de façon aussi réaliste la menace cyber, une menace quotidienne… C’est bien pour cela que le nouveau baromètre du CESIN publié mardi à l’occasion de l’inauguration à Lille du Forum international de la cybersécurité (FIC), offre un panorama très intéressant sur la façon dont les entreprises tentent de se protéger contre cette menace très prégnante.
Au final, le tableau reste assez sombre. Car seuls 52% des responsables sécurité des systèmes d’information (RSSI) se disent confiant dans la capacité de leur entreprise à faire face aux cyber risques (en hausse de cinq points par rapport à 2015). Pour assurer leur cyber sécurité, 84% d’entre eux vont acquérir de nouvelles solutions techniques, 55% augmenter leur budget et 44% accroître leur effectif.
Hausse des attaques
Les résultats de ce deuxième baromètre (141 répondants) ne sont guère rassurants. Car – et ce n’est pas une surprise – les attaques ont augmenté en 2016 par rapport à 2015 pour 46% des RSSI tandis que 53% d’entre eux estiment qu’elles sont stables. Près de 80% des entreprises ont constaté au moins une cyber attaque avérée, qui a réussi à entrer dans un ou des serveurs de l’entreprise. En moyenne, elles mettent entre une et six heures pour s’apercevoir des attaques et entre trois jours et trois semaines pour nettoyer le système.
Parmi les entreprises interrogées, 21% ont été touchées par 15 attaques ou plus, 9% entre 10 et 14 attaques, 15% entre quatre et neuf, et, enfin, 34% entre une et trois. « Les attaques touchent toutes les entreprises, explique le président du CESIN, Alain Bouillé, RSSI à la Caisse des Dépôts. Plus personne ne peut se réfugier sur l’argument ‘cela n’arrive qu’aux autres’. Ce temps est terminé ».
La demande de rançon (ransomware) reste l’attaque la plus subie par les entreprises (80%, en hausse de 19 points). Suivent les attaques par déni de service (40%), les attaques virales générale (36%), la fraude externe (29%)… tandis que le cyber-espionnage économique et industriel est relativement peu fréquent (9%), tout comme la fraude au président (4%). En moyenne, les entreprises subissent trois types d’attaque, explique le CESIN.
Des solutions jugées inefficaces
Face aux menaces grandissantes, 40% des entreprises estiment que les solutions techniques proposées par le marché ne sont pas adaptées aux types et à la fréquence des menaces. 31% d’entre elles jugent que ces solutions ne sont pas non plus adaptées aux besoins de leur entreprise. Par exemple, les sondes de sécurité conseillées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sont jugées peu efficace (54%) tout comme le chiffrement de base de données (60%). A l’inverse, les pare-feux (91%), le VPN (89%) et le filtrage web (78%) sont jugées efficaces. « Il existe un gap entre ce qu’on nous propose et ce dont nous avons besoin », regrette le vice-président du CESIN, Olivier Ligneul, RSSI du groupe EDF.
Et pourtant les entreprises s’équipent de plus en plus pour repousser les cyber attaques. En moyenne, les RSSI mettent en place simultanément onze solutions et disposent d’un budget représentant entre 3% et 10% de leur budget informatique. Pour faire face à la menace, ils plébiscitent le VPN (87%), le filtrage web (84%), les antispam (79%), les proxy URL (64%)… De plus en plus d’entreprises souscrivent à une cyber-assurance. Ainsi 26% ont déjà souscrit à une assurance tandis que 17% envisagent de le faire d’ici un an… même si les assureurs, à l’exception du leader de cette niche de marché Marsh, ne comprennent pas toujours les risques liés aux cyberattaques, estime-t-on au CESIN.
La cyber-menace, un frein à la transformation numérique?
Considérée à 95% par les membres du CESIN comme un enjeu stratégique, « la transformation numérique génère de nouveaux risques », estime Alain Bouillé. Ainsi, 95% considèrent qu’elle a un impact sur la sécurité des systèmes d’information et des données, et 89% jugent qu’elle a un impact sur la gestion des données sensibles de l’entreprise. La transformation numérique vient perturber la cyber sécurité installée dans les entreprises, à l’image du cloud qui est utilisé à 82% par les entreprises interrogées, des objets connectés… Résultat, plus d’une entreprise deux (58%) considère que les solutions disponibles sur le marché ne sont pas adaptées.
Selon le CESIN, le cloud expose par exemple les entreprises à de nombreux risques, notamment en raison du moindre contrôle des données. Les RSSI évaluent un risque fort sur le contrôle des accès et des audits (57%), sur le stockage des données dans des datacenters à l’étranger, hors du droit français (55%), sur le non effacement des données (55%), sur la confidentialité des donnée vis-à-vis de l’hébergeur (50%). Du coup, sécuriser le cloud nécessite pour 91% d’entre eux de mettre en oeuvre des outils spécifiques.
En outre, la transformation numérique introduit de nouveaux risques liés aux nouvelles pratiques des salariés. L’utilisation de matériel informatique personnel au bureau (BYOD) représente un risque pour 54% des RSSI interrogés. Les objets connectés représentent un risque pour 96% des RSSI, tout comme le « machine to machine » (74%), le big data (69%), le e-commerce (59%) et la blockchain (37%). Bref, le métier des RSSI va devenir de plus en plus stressant. Pas sûr que leur sommeil soit paisible…