Quel est le niveau de sécurité des différents secteurs en France ? Quelles sont les forces et faiblesses des grandes organisations en matière de cybersécurité ? Pour répondre à ces questions, le cabinet de conseil Wavestone a réalisé un benchmark détaillé et basé sur une évaluation terrain de près de 200 mesures de sécurité.
Depuis 3 ans, les données de plus de 100 organisations, représentant près de 5 millions d’utilisateurs, ont été consolidées et analysées. Les résultats illustrent le long chemin restant à parcourir pour les grandes organisations, mais aussi une progression sensible, puisque celles-ci obtiennent un score global de maturité de 49% contre 46% l’an dernier, le score étant relatif aux exigences des normes internationales NIST CSF Framework & ISO 27001/2.
Avec une progression de 3% : les investissements en cybersécurité commencent à se faire sentir
Le niveau de maturité général est en hausse atteignant 49%, l’étude révèle néanmoins une hétérogénéité en fonction des secteurs. Celui de la Finance tire son épingle du jeu avec un score de 59,2 % en progression de 4.8 points depuis 2022. Ce résultat s’explique par les investissements conséquents et historiques réalisés dans ce secteur, encouragés par les réglementations. Le secteur de l’Industrie suit la progression (4.6 points) montrant les efforts effectués pour rattraper leur retard en menant leur transformation numérique. Celui des Services (44%) avec le Public (36,1%) ferme la marche. Ces derniers, bien que conscients des risques, peinent à identifier les financements nécessaires. Avec un score de 51,8%, le secteur de l’Energie reste légèrement au-dessus de la moyenne. Les entreprises soumises aux réglementations sur la sécurité des infrastructures critiques (NIS/LPM) se démarquent et sont plus matures (56,1% VS 46,4%).
Face aux risques d’une attaque par ransomware, 23% des organisations sont dans une situation à risque, c’est 7 points de moins que l’an dernier.
Wavestone gère de nombreuses cyberattaques pour le compte de ses clients grâce à son équipe de réponse à incident le CERT-Wavestone. Les principales failles utilisées par les cybercriminels ont été identifiées et une analyse particulière de la maturité a été réalisée. De cette analyse ressort que :
- 23% des organisations restent très fragiles aux risques d’attaque par ransomware. Ce phénomène touche surtout les secteurs des services et le secteur public même si certains acteurs financiers ou industriels ne sont pas à l’abri.
- Les très grandes organisations (type CAC40, FTSE100 ou celles qui ont plus de 100k employés), du fait de leur niveau de maturité proche des 60%, sont des cibles moins faciles.
Cette progression se ressent sur le terrain où l’on observe une diminution des attaques sur les grandes structures, en réalité les tentatives d’attaques ont toujours lieu mais elles ont pu être détectées et interrompues avant de générer trop de dégâts.
Les effectifs restent le nerf de la guerre…
En France, comme à l’échelle mondiale, la cybersécurité fait face à une pénurie de talents constante : plus de 15 000 postes sont disponibles mais non couverts. Les grandes entreprises tentent d’inverser la courbe et renforcent de plus en plus leurs équipes mais les écarts sont importants en fonction de la maturité digitale des secteurs. En ce qui concerne les effectifs dans les organisations évaluées, il y a environ 1 personne dédiée à la cybersécurité pour 1300 employés, un chiffre trop faible pour faire face aux enjeux actuels. Les disparités sectorielles sont sur ce thème encore plus marquées.
… autant que les investissements financiers dédiés
Sur le budget informatique global des entreprises, 5,6% est dédié à la sécurité. Un nombre qui peut paraître faible à première vue, mais qui augmente significativement en cas d’attaque cyber pour avoisiner les 15%. Gérôme BILLOIS, Associé en charge de l’activité cybersécurité de Wavestone, ajoute d’ailleurs que « la matérialisation d’une crise permet une mobilisation à haut niveau du coté exécutif ; elle engendre également les mécaniques permettant des niveaux d’investissements très forts ». D’un point de vue sectoriel, ceux qui investissent le plus sont les Services Publics (6,6%), l’Industrie (6%) et le Luxe & Retail (6%). Le retard à rattraper est plus important dans ces secteurs et la prise de conscience, plus tardive, montre aujourd’hui ses effets. À l’inverse de l’Énergie (5,5%), de la Finance (5,4%) et des Services (4.5%). Il est à noter que la finance a largement investi les années précédentes et qu’elle dispose de budgets informatiques sans commune mesure avec les autres secteurs d’activité.
De nombreux challenges à relever pour les entreprises françaises
- Sur les axes stratégiques de la cybersécurité, on observe une homogénéité des piliers NIST (identifier les risques, protéger, détecter, réagir) avoisinant les 50% sur l’ensemble des thèmes. Toutefois, la résilience à la suite d’une attaque reste le parent pauvre, à 43% de maturité.
- Sur le sujet de la résilience, nous observons un marché à deux vitesses, séparant le secteur financier du reste des organisations, pourtant les risques sont bien présents et tous sont concernés.
- Alors que 70% des entreprises du secteur financier revoient régulièrement leurs risques résiduels au niveau de leur Plan de Traitement des Risques (PTR), seulement 28% des entreprises des autres secteurs font de même.
- Sur la gestion des incidents de sécurité, 60% améliorent continuellement leur processus et possèdent différents plans de cyber-réponse en fonction des scénarios, contre seulement 40% des entreprises en dehors de la finance.
- Au niveau des tiers, 25% des entreprises en finance ont mis en place un processus pour auditer régulièrement leurs fournisseurs, en fonction de leur criticité, contre seulement 11% pour les entreprises des autres secteurs.
- Mais le plus marquant reste le fait que 55% des entreprises financières testent tous les scénarios du PCA au moins tous les deux ans (la réglementation DORA demandant de le faire tous les ans). Au niveau des entreprises non financières, seulement 9% effectuent ces tests.
- Le Zero Trust est l’un des enjeux majeurs de ces prochaines années en cybersécurité. Bien qu’en plein déploiement, il nous a semblé clé de faire zoom dessus :
- 24% des organisations ont mis en place une micro segmentation automatique (e.g.: Illumino) en fonction de l’exposition, de la sensibilité, de l’environnement, etc. déployé à hauteur de 32% en moyenne.
- 14% des organisations ont mis en place du Zero Trust Network Access basé sur l’identité pour leurs environnements Cloud, déployé à hauteur de 46% en moyenne.
- 28% des organisations prennent en compte la sensibilité des ressources et le contexte de connexion et ont déployé une authentification multifacteurs (MFA) avec accès conditionnel, déployé à hauteur de 73% en moyenne.
- 13% des organisations ont commencé à déployer un SOAR permettant d’isoler les ressources lors de la détection d’une alerte, déployé à hauteur de 48% en moyenne.
- Le Cloud est un sujet clé concentrant des investissements importants atteignant maintenant 44.5% de maturité, contre seulement 36.1% l’an dernier. La progression la plus importante se fait au niveau de l’administration Cloud : entre 2022 et 2023, 14% des organisations ont mis en place une authentification multi-facteurs (code en plus du mot de passe) ou un bastion (rebond intermédiaire) pour l’accès aux actions d’administrations Cloud. Au sujet de la surveillance, en 2022, 42% des entreprises comptaient uniquement sur les alertes de leur fournisseur Cloud, ils ne sont plus que 38% en 2023. Enfin, nous avons maintenant 70% des organisations qui disent vérifier automatiquement la conformité du Cloud à l’aide d’outils ; uniquement 11% corrigent cependant automatiquement les problèmes de conformité du Cloud.
- Dans le secteur de l’industrie, la plus grande problématique reste la sécurité des systèmes d’information industriels (37.9% de maturité). Des systèmes historiques ont été conçus sans sécurité par défaut et s’ouvrent désormais du fait de la transformation numérique. Les efforts pour mettre en place une gouvernance se poursuivent (71% contre 50% en 2022) et les travaux d’isolation continuent (86% contre 78% en 2022) mais sont souvent difficiles à mener jusqu’au bout. De plus ces périmètres sont toujours aujourd’hui très peu surveillés (37%) même si on observe une amélioration (+8 points).
« De manière instinctive, on pense que le Cloud est sécurisé. C’est vrai pour ce qui est de la responsabilité des fournisseurs, mais beaucoup d’actions restent de la responsabilité des organisations utilisatrices… et sont malheureusement souvent oubliées ! C’est un point majeur pour la sécurité des nouvelles applications », déclare Gérôme BILLOIS.
La rédaction