Le CESIN, Club des Experts de la Sécurité de l’Information et du Numérique, vient de dévoiler les résultats de sa quatrième grande enquête menée par OpinionWay auprès de 174 membres de l’association. Certes, note le rapport, le nombre des cyberattaques constatées tend à se stabiliser, mais 8 entreprises sur 10 continuent d’être touchées. Le phishing reste le mode d’attaque le plus fréquent. 73 % en ont été victimes. « L’arnaque au président » touche la moitié des entreprises. Le ransomware est au troisième rang avec 44 % d’entreprises qui y ont été confrontées, suivi par le social engineering (40%). Et, preuve que les inquiétudes sont toujours de mise cette année, la confiance du responsable de la sécurité (RSSI) dans sa cyberdéfense est en baisse de 12 points par rapport à l’an dernier. D’ailleurs, moins de 1 RSSI sur 2 considère que son entreprise est préparée à gérer une cyberattaque de grande ampleur !
La production directement touchée
Les conséquences directes des cyberattaques sur le business s’intensifie relèvent les responsables, pour presque 60 % des entreprises, soit 10 points de plus que l’année dernière : arrêt ou ralentissement de la production (35 % en tout des réponses), indisponibilité du site Internet, retard des livraisons. Une perte de chiffre d’affaires est notée par 11 % des répondants.
L’enjeu de la formation des salariés
D’après les RSSI, l’enjeu principal pour l’avenir de la cybersécurité est celui de la formation et de la sensibilisation des utilisateurs (61%). La gouvernance de la cybersécurité doit également être placée au bon niveau pour 60 % des RSSI. Malgré un impact positif de la mise en conformité RGPD sur la gouvernance des entreprises (59 %), la confiance en la capacité des Comex à prendre en compte les enjeux de la cybersécurité est très
inégale en fonction des secteurs d’activité.
En France comme dans le reste du monde, la pénurie de ressources humaines en cybersécurité est un défi majeur pour les organisations, constaté par 9 RSSI sur 10, à l’heure où la moitié d’entre eux prévoit d’augmenter les effectifs alloués à la protection contre les cyber-risques.