Fortinet a profité des Assises de la Sécurité pour publier l’édition 2017 de son enquête annuelle sur la perception de la cybersécurité par les décideurs et ses résultats reflètent l’actualité récente.
La montée en puissance de la réglementation en Europe mais aussi et surtout les dernières attaques massives de cryptolockers et autres malwares ont marqué l’esprit de plus d’un dirigeant d’entreprise. Plus aucun responsable ne peut pratiquer la politique de l’autruche face au risque cyber, et l’étude Fortinet qui va être publiée dans les prochain jours le montre bien : 77 % des dirigeants français reconnaissent que leur entreprises à été victime d’une faille de sécurité ces deux dernières années, un chiffre alarmant – pourtant meilleur que la moyenne mondiale qui s’établit à 85 % ! « Notre enquête 2017 montre cette prise de conscience même si les dirigeants ne considèrent pas la cybersécurité comme la priorité absolue », déplore Christophe Auberger, directeur technique de Fortinet. « Les entreprises françaises ont enfin opéré une prise de conscience vis-à-vis de la cybersécurité. Les récentes attaques ont montré que ne rien faire coûte désormais plus cher que d’investir en cybersécurité. Avec le RGPD, cela devient très clair : si cela coûtait moins cher de payer une amende à la CNIL que de sécuriser son informatique, demain ce ne sera plus le cas. »
Pour 40% des dirigeants français, la cybersécurité n’est pas la priorité
Les dirigeants ont peur de voir leurs entreprises faire face à une fuite de données majeure, sont plus anxieux encore de voir leur activité paralysée du fait de postes de travail bloqués par un malware, mais pour autant la cybersécurité n’est pas encore intégrée à la stratégie de l’entreprise. Le « Secure by Design » est encore loin d’être de mise dans les services comme dans l’industrie, et les Comex la considèrent encore comme un centre de coût ou un frein à l’agilité plutôt que comme un véritable atout concurrentiel. « 48 % des décideurs IT au global et 40 % pour la France estiment que la cybersécurité n’est pas leur priorité stratégique » relève Christophe Auberger. « D’un côté, ils ont bien pris conscience que la cybersécurité, c’est important. De l’autre, celle-ci n’est pas intégrée à la stratégie de l’entreprise. C’est quelque chose qui va changer rapidement. Néanmoins, ces derniers mois ont eu un gros impact sur leur perception. Plus personne ne se pose de questions quant à l’importance de la cybersécurité et les dirigeants sont désormais bien conscients des risques. »
« La cybersécurité n’est toujours pas intégrée à la stratégie des entreprises françaises », Christophe Auberger, Fortinet
Le durcissement de la réglementation produit ses effets
Au niveau des budgets, plus de 60 % des entreprises déclarent avoir alloué plus de 10 % du budget IT à la cybersécurité. « L’effort est significatif, les budgets sont bien là, mais c’est sur l’approche stratégique, l’intégration dans les schémas directeurs qu’il reste encore du chemin à parcourir. Je reste persuadé que c’est en train de se produire. La généralisation des attaques pousse en ce sens, de même que l’importance des impacts. WannaCry, Petya, NotPetya ont entraîné des arrêts de production du fait des malwares, ou par peur d’être infecté, avec des pertes qui se chiffrent en centaines de millions d’euros. Aujourd’hui, plus personne ne peut faire l’impasse sur cela. » Pour le responsable, la cybercriminalité doit aujourd’hui être considérée comme un véritable business pérenne. En outre, la réglementation, notamment en Europe, pousse les entreprises à s’équiper et muscler leurs mesures de protection des données personnelles. « Les textes relatifs à la LPM ont été publiés et les OIV ont maintenant des délais de mise en œuvre à tenir. En outre, la directive NIS qui reprend en grande partie la LPM avec moins de contraintes va étendre ces mesures sur un périmètre plus large, tandis que la RGPD se profile… » conclut Christophe Auberger.
Auteur : Alain Clapaud