Cybersécurité en France : l’assurance à défaut d’audace et de confiance ?

Les entreprises françaises apparaissent confrontées à plus d’incidents de sécurité informatique – ou cyber-attaques pour le sondage Cesin-OpinionWay : 33 % d’entre elles en ont subi entre un et trois l’an passé, 18 % entre 4 et 9, 11 % entre 10 et 14, et 17 %... quinze et plus. Pour 48 % des sondés, le nombre d’incidents a augmenté en un an.

Sans trop de surprise, c’est le rançongiciel qui tient le sommet du podium, mentionné par 73 % des sondés. Viennent ensuite les infections par maliciels génériques (38 %), puis la fraude externe (30 %), le vol ou la fuite d’informations (30 %), et l’attaque ciblée (29 %). On regrettera seulement là qu’il ne soit pas précisé si les sondés considérait WannaCry ou encore NotPetya comme un ransomware ou pas. Mais en moyenne, chaque personne ayant répondu a fait état de 2,7 types d’attaques différents.

Le risque le plus rencontré l’an passé est l’ingénierie sociale, mentionnée par 59 % des sondés, juste devant les « vulnérabilités résiduelles permanentes » (56 %), puis les solutions industrielles auxquelles il ne faut pas toucher (34 %). Plus de neuf sondés sur dix ont indiqué avoir été confronté à au moins l’un des risques ; en moyenne, ils ont eu maille à partir avec trois.

La bonne nouvelle, c’est que dans 51 % des cas, il n’y a eu aucun impact sur l’activité. Et dans quatre autres pourcents, il n’a pas été significatif. Mais l’indisponibilité de site Web est mentionnée par 15 % des sondés, suivie par l’arrêt de production durant un temps significatif (12 %) ou encore la perte de chiffre d’affaires (9 %).

Face à cela, les entreprises apparaissent globalement très conservatrices dans leur approche de la protection. On pourra regretter que le sondage ne laisse la place à aucun détail quant aux méthodes de protection du poste de travail ou de visibilité sur celui-ci. Mais si les traditionnels et incontournables VPN, filtres Web, anti-spam et autres serveurs mandataires ou encore MDM apparaissent largement adoptés, il est difficile d’en dire autant de la gestion des journaux (mentionnée par 61 % des sondés), des vulnérabilités (58 %), ou encore de la supervision de la sécurité (58 %), de l’authentification forte (58 %), de la cryptographie (45 %), des sondes de sécurité (46 %), des passerelles d’accès Cloud sécurisé (CASB, 11 %), ou encore des bastions pour la gestion des comptes à privilèges (42 ‰)…

Et encore faut-il garder à l’esprit que ce sondage a été réalisé auprès de 142 membres du Club des experts de la sécurité de l’information et du numérique, des RSSI à 89 %, évoluant pour 93 % d’entre eux dans des entreprises de plus de 1 000 salariés… Au final, pour l’ensemble, ils apparaissent plutôt conservateurs. Mais peut-être cela tient-il à la méthode d’OpinionWay.

Ainsi, selon l’institut de sondage, le pare-feu applicatif est une solution – et la seule – mise en place mais jugée peu efficace. Dans les chiffres, 60 % des sondés jugent ces WAF efficaces. Et l’on est tenté de le souhaiter : pour l’Enisa, les attaques de sites Web sont loin d’être une menace négligeable ; elles arrivent en troisième position de son inventaire annuel.

Quoi qu’il en soit, n’en déplaise à un sondeur qui a choisi là de souligner la désapprobation, les sondés semblent globalement satisfaits de l’offre commerciale : 78 % estiment qu’elle répond aux besoins de leur entreprise, et 66 % aux types et à la fréquence actuelle des attaques.

Mais les sondés n’apparaissent toutefois pas totalement confiants, ni dans leurs systèmes, ni dans leurs processus, ni dans leurs utilisateurs. Ainsi, 40 % ont souscrit une assurance cyber et 15 % étaient en train de le faire lors du sondage. Et c’est sans compter avec les 22 % qui prévoient d’y passer « à plus long terme ». De quoi combler le risque résiduel…

Et celui-ci apparaît d’autant moins négligeable que si 73 % des sondés estiment que les salariés de leur entreprise sont sensibilisés aux risques, seuls 13 % pensent qu’ils le sont tout à fait… Et le doute est conséquent ! Car si 59 % avancent que les salariés respectent les recommandations… seul 1 % des sondés estiment qu’ils le font « tout à fait ».

Dans ce contexte, il n’est pas surprenant que 62 % des sondés indiquent avoir mis en place des procédures pour tester l’application des recommandations de sécurité par les salariés. Non, ce qui est surprenant, c’est que la pratique ne soit pas généralisée.