Alors que le nombre de cyberattaques tend à se stabiliser, ces dernières ont un impact plus important sur les sociétés visées, selon un sondage OpinionWay pour le CESIN.
Le CESIN, Club des Experts de la Sécurité de l’Information et du Numérique, vient de dévoiler les résultats de sa quatrième grande enquête menée par OpinionWay auprès de 174 membres de l’association. Et cette année, la confiance du RSSI dans sa cyberdéfense est en baisse de 12 points. Moins de 1 responsable sécurité des systèmes d’information (RSSI) sur 2 considère que son entreprise est préparée à gérer une cyberattaque de grande ampleur. Par ailleurs, seule 1 entreprise sur 10 a mis en place un véritable programme de cyber-résilience. On remarquera toutefois que s’il n’est pas à l’ordre du jour pour 21 % des entreprises, il est en cours chez 33 % d’entre elles et envisagé par un même pourcentage (34 %). À noter, l’enjeu de l’IA : 56 % des répondants ont mis en place des solutions basées sur l’IA ou envisagent de le faire, même si 55 % estiment que l’IA ne se substituera pas à l’expertise humaine en matière de sécurité.
Cyberattaques : des conséquences directes sur le business pour 60 % des entreprises
Certes, le nombre des cyberattaques constatées tend à se stabiliser, mais 8 entreprises sur 10 continuent d’être touchées, avec des conséquences directes sur le business pour presque 60 % d’entre elles, soit 10 points de plus que l’année dernière : arrêt de la production, indisponibilité significative du site Internet et perte de chiffre d’affaires.
Le phishing est le mode d’attaque le plus fréquent. 73 % en ont été victimes. “L’arnaque au président” que l’on croyait en voie d’extinction touche encore 1 entreprise sur 2 en 2018. Le ransomware est au troisième rang avec 44 % d’entreprises qui y ont été confrontées, suivi par le social engineering (40%). Le shadow IT – l’usage notoire par les collaborateurs des applications et services Cloud le plus souvent gratuits, s’est banalisé et échappe au contrôle de la DSI – est le risque cyber le plus répandu, mentionné par 64 % des répondants comme étant une menace à traiter.
Le recours massif au Cloud par les entreprises elles-mêmes, utilisé par 87 % d’entre elles, dont 52% dans des Clouds publics, accroît également les risques liés à l’accès aux données de l’entreprise par les hébergeurs (via les administrateurs ou autres) ou à la chaîne de sous-traitance pratiquée par le fournisseur. Pour 89 % des RSSI interrogés ces enjeux impliquent la mise en place d’outils de sécurisation supplémentaires à ceux proposés par le prestataire.
L’enjeu de la formation
D’après les RSSI, l’enjeu principal pour l’avenir de la cybersécurité est celui de la formation et de la sensibilisation des utilisateurs (61%). La gouvernance de la cybersécurité doit également être placée au bon niveau pour 60 % des RSSI. Malgré un impact positif de la mise en conformité RGPD sur la gouvernance des entreprises (59 %), la confiance en la capacité des Comex à prendre en compte les enjeux de la cybersécurité est très
inégale en fonction des secteurs d’activité.
En France comme dans le reste du monde, la pénurie de ressources humaines en cybersécurité est un défi majeur pour les organisations, constaté par 9 RSSI sur 10, à l’heure où la moitié d’entre eux prévoit d’augmenter les effectifs alloués à la protection contre les cyber-risques.