Cybersécurité en France : des RSSI pris au piège de leurs certitudes ?

Encore une fois, les entreprises françaises apparaissent confrontées à plus d’incidents de sécurité informatique – ou cyber-attaques pour le sondage Cesin-OpinionWay : 31 % d’entre elles en ont subi entre un et trois l’an passé, 17 % entre 4 et 9, 10 % entre 10 et 14, et 22 %... quinze et plus. Ce dernier segment progresse de 5 points par rapport à l’an dernier, alors que les autres s’inscrivent, chacun, en recul d’un point.

Toutefois, pour 53 % des sondés, le nombre d’incidents est resté stable en un an. Ils sont 41 % à observer une augmentation, soit 7 points de moins que pour la précédente édition de l’étude.

Sans surprise, sur 2018, les rançongiciels se sont fait détrôner. Ils n’occupent plus la première marche du podium, mais la troisième. Mentionnés par 44 % des sondés, contre 73 % l’an dernier, les ransomwares se retrouvent renvoyés à la troisième marche, derrière les arnaques au président (50 % des sondés), et le hameçonnage. Car c’est le phishing qui prend la première la place, au même niveau que les rançongiciels il y a un an.

Ironie des résultats – ou de l’énoncé des questions, au choix –, rien de tout cela ne figure parmi les « cyber-risques les plus fréquemment rencontrés ». Là, c’est le Shadow IT qui arrive en tête, tout juste devant les « vulnérabilités résiduelles permanentes ». Au moins, l’an passé, l’ingénierie sociale arrivait-elle en tête des risques observés. A consulter les résultats du sondage, le décalage apparaît pour le moins surprenant. A moins qu’il ne faille considérer que le risque « erreur de manipulation d’un salarié », mentionné par 52 % des sondés, ne recouvre le phishing et l’arnaque au président. Pour autant, ce risque n’est relevé que par 52 % des sondés et ne s’inscrit donc qu’en troisième position.

Les résultats de l’étude OpinionWay interpellent également sur la perception qu’ont les RSSI membres du Cesin, de leurs solutions de sécurité. Ainsi, ils sont 84 % à avoir mis en place un proxy et une solution de filtrage d’URL, et encore 80 % une passerelle de sécurité de la messagerie électronique. Et celles-ci sont rangées parmi les solutions les plus mises en place et jugées efficaces. Malgré, donc, ce qu’ont pu dire les sondés sur le phishing et les arnaques au président. L’authentification à facteurs multiples est jugée efficace, mais uniquement déployée chez 59 % des sondés. Ceci explique peut-être cela. A moins qu’il ne faille chercher du côté des procédures internes.

On relèvera au passage que la mention relative aux vulnérabilités n’est peut-être pas très surprenante : seuls 52 % des sondés indiquent disposer d’une solution de gestion des vulnérabilités.

Mais le sondage OpinionWay réserve une autre surprise. Ainsi, 89 % des sondés estiment que sécuriser les données stockées dans le cloud nécessite des outils spécifiques, et pour 80 %, en plus de ceux proposés par le prestataire. Mais ils ne sont que 10 % – contre 11 % l’an dernier – à déclarer utiliser une passerelle de sécurisation des accès cloud (CASB), quand bien même celles-ci sont censées aider à mettre en lumière le fameux Shadow IT… Mais voilà, moins de 30 % des sondés les estiment efficaces. Pour l’anecdote, on relèvera que certains participants à la dernière édition des Assises de la Sécurité comptaient y trouver leur CASB, après avoir adopté des applications métier en mode SaaS.

Mais comme l’an passé, l’ironie ne s’arrête pas là. Si les CASB sont peu adoptés parmi les membres du Cesin, et jugés inefficaces, ils ne sont pas seuls dans ce cas. Il faut aussi compter notamment avec les solutions de détection et de remédiation sur les hôtes (EDR), les systèmes de leurre, ceux de lutte contre les DDoS, de chiffrement et de signature des messages, de classification des données, d’anonymisation de celles-ci, ou encore de chiffrement de bases de données. Et malgré cela, 75 % des sondés estiment que l’offre du marché répond aux besoins leurs entreprises, voire 65 % aux types et à la fréquence des incidents de sécurité, ou encore 61 % aux enjeux de la transformation numérique.

Satisfaction affichée à l’égard de l’offre, mais regard critique sur de nombreux types produits… ce qui peut ressembler à une incohérence peut peut-être s’expliquer par une méconnaissance. Car les types de solutions de sécurité les plus appréciés sont aussi les plus adoptés, et les plus critiqués… les moins déployés.

Le rapport à l’intelligence artificielle semble aller dans ce sens-là : seuls 23 % des sondés ont mis en place des solutions l’utilisant sous une forme ou une autre. Mais cela n’a été déterminant que pour 6 % des sondés. Et 55 % des sondés en sont convaincus : l’intelligence artificielle ne remplacera pas l’expertise humaine.

Au final, s’il y a une chose qui a progressé significativement en un an, parmi les membres du Cesin, c’est le recours à l’assurance contre le risque cyber : 50 % des sondés indiquent en avoir souscrit une, soit 10 points de mieux que l’an passé. Sans compter 10 % indiquant que la souscription est en cours.

Car la confiance n’est assurément pas au rendez-vous. Un peu plus de la moitié des sondés estime que son entreprise est bien placée pour résister aux menaces informatiques. A 51 %, c’est 12 points de moins qu’il y a un an. Et ils sont 41 % à penser que leur entreprise est prête à faire face à un incident de grande ampleur – mais seulement 12 % à avoir en place un programme de cyber-résilience.

Cette année, 174 membres du Cesin ont participé à l’enquête, très majoritairement des RSSI d’entreprises de plus de 1000 salariés, et notamment dans les secteurs des services et de l’industrie/BTP.