Cybersécurité : la cohérence entre risques perçus et outils déployés progresse

Pas de doute, les adhérents du Cesin ont bien conscience des spécificités des menaces actuelles. Parmi les 253 membres du Club des experts de la sécurité de l’information et du numérique, sondés par OpinionWay au tournant de l’année, 79 % des 163 répondant ayant constaté une attaque mentionnent le hameçonnage ou le harponnage (pishing et spear-phishing) parmi les vecteurs d’attaque ayant affecté leur entreprise au cours des douze mois passés, plaçant ces techniques largement en tête.

En lui-même, ce chiffre ne constitue guère une surprise : ces techniques sont largement utilisées dans la distribution de maliciels – Emotet, Trickbot, Dridex, notamment – ouvrant la voie au déploiement de rançongiciels. Mais l’éventail de solutions de sécurité déployées en protection s’avère cohérent avec cette menace – du moins pour le vecteur d’entrée initial. Ainsi, 85 % des répondants indiquent disposer d’une passerelle de sécurité de la messagerie électronique – contre 80 % pour l’édition précédente de l’étude. Ils sont aussi 80 % à disposer d’une solution de filtrage des URL. Mais c’est surtout l’adoption de l’authentification à facteurs multiples qui fait un bond de 13 points, à 72 %.

Tout aussi encourageant, l’adoption des solutions d’EDR, permettant potentiellement de gagner en visibilité sur d’éventuelles activités suspectes sur les postes de travail et serveurs, progresse de 14 points à 34 %. Pour la visibilité sur le trafic réseau, 58 % des sondés déclarent disposer d’un IDS/IPS, et 37 % d’une sonde réseau – une distinction qui laisse quelque peu dubitatif lorsque l’on pense que les sondes Gatewatcher ou Cybels Sensor de Thales sont basées sur… un IDS, l’incontournable Suricata…

Pour autant, les attaquants parviennent à s’inviter. Dans 65 % des entreprises représentées par les sondés, au moins une attaque a été observée au cours des douze derniers mois, voire même entre 4 et 9 pour 14 %, entre 10 et 14 pour 9 %, et rien moins que 15 ou plus pour 10 %. Au final, pour 40 % des sondés, le nombre d’attaques a augmenté en un an. Et les impacts n’en ont été jugés négligeables que par 4 % des sondés ; dans 57 % des cas, l’activité de l’entreprise a été affectée.

En moyenne, ceux qui ont subi des attaques ont observé 2,5 conséquences, les deux plus fréquentes étant l’usurpation d’identité et l’infection par maliciel – le ransomware n’étant mentionné que par 25 % des sondés concernés par au moins une attaque… tout juste un moins que pour le vol de données personnelles (26 %).

Mais les membres du Cesin ne contentent pas de déployer des solutions de prévention et d’attendre que survienne une attaque aux conséquences graves et douloureuses. Ils sont près d’un sur cinq a déjà avoir mis en place un programme de cyber-résilience, et 36 % de plus à y travailler – et autant à l’envisager. Au final, seuls 9 % ne s’en soucient même pas.

L’adoption de l’assurance cyber continue également de progresser – au même rythme qu’en 2018, avec 10 points de mieux en 2019 à 60 % désormais. Et la souscription d’un contrat de cyberassurance est en cours pour 13 % des sondés.

Toutefois, la confiance n’est pas au rendez-vous, et recule même encore. Seuls 39 % des sondés s’estiment prêts à faire face une attaque de grande ampleur. L’an dernier, un peu plus de la moitié des sondés considérait que son entreprise était bien placée pour résister aux menaces informatiques. A 51 %, c’était 12 points de moins qu’un an plus tôt. Surtout, lors de la précédente édition du sondage, ils étaient 41 % à penser que leur entreprise était prête à faire face à un incident de grande ampleur.