Le risque de cyberattaque est considérable autour de la période des JO. Tant pour les grands groupes que pour les plus petites entreprises, alerte le cabinet Wavestone dans son dernier Cyber Benchmark.
« Seuls 39 % des grands groupes disposent de solutions pour protéger tous leurs sites contre les attaques par déni de service (saturation des sites web entraînant leur non-fonctionnement) -27 % pour les plus petites entreprises-, et 47 % disposent de solutions de protection avancées pour leurs applications exposées sur Internet pour se prémunir du défacement, une modification incontrôlée des pages de sites web« , chiffre Wavestone dans son Cyber Benchmark.
La faiblesse des sous-traitants
Les entreprises ont du mal à se défendre. Pour quelles raisons ? La faiblesse réside dans les sous-traitants : 67 % des grands groupes disposent de clauses de sécurité pour encadrer leurs relations avec les tiers, mais seulement 38 % d’entre eux les auditent régulièrement. Les grandes structures sont ainsi vulnérables par ces biais.
Pire, seuls 16 % des grands groupes testent leur plan d’intervention et de relance auprès de leurs tiers sur tous les périmètres critiques. Alors que la préparation et l’entraînement permettent la résilience des performances économiques, sociales et organisationnelles des structures.
La mise en place opérationnelle de la gestion des fournisseurs reste un défi. Les entreprises n’ont pas de personnel dédié et une coordination efficace avec les achats, les métiers et l’organisation. Elles n’ont pas d’outils efficaces pour le suivi de leurs fournisseurs également.
Quant à la maturité de la sécurité des systèmes de contrôle industriels, elle reste faible. Seulement, 40 % disposent d’un niveau suffisant, du fait qu’historiquement les systèmes n’intégraient pas la sécurité dès l’origine.
Autre élément, à peine 36 % des grands groupes disposent de sauvegardes sécurisées pour ces environnements. Il existe également un écart entre les secteurs fortement régulés (énergie, pharmacie, défense) avec une maturité moyenne de 50 %, et les autres secteurs (construction, textile, agroalimentaire) avec une maturité de 37 %. Cet écart devrait se réduire avec l’implémentation de la directive NIS 2.
Prêts pour NIS2 ?
Quant à NIS2, les grands groupes semblent prêts. 80 % auraient mis en œuvre des politiques SSI et des processus d’analyse des risques. Par contre, seules 52 % des petites entreprises auraient réalisé cette démarche.
Concernant la continuité d’activité et la gestion de crise, 50 % des grandes entreprises seraient matures contre 36 % pour les plus petites structures.
57 % des plus grands groupes sont préparés à affronter un incident contre 41 % pour les plus petites entreprises.
Les grands groupes affichent une maturité sur l’audit de la gestion des risques de 72 % contre 42 % pour les petites entreprises. Enfin, la sensibilisation et la formation des personnes est mature à 56 % pour les grands opérateurs, contre 31 % pour les petites entreprises.
Patrice Remeur
