Cybersécurité : ça progresse un peu dans les grandes entreprises

49 % : ce chiffre représente la proportion de grandes entreprises françaises matures sur le plan de la sécurité informatique. Par maturité, il faut comprendre le niveau d’adoption de près de 200 mesures préconisées par les référentiels internationaux NIST CSF et ISO 27001/2.

Cette étude a été menée par le cabinet de conseil Wavestone auprès de « plus de 100 organisations, représentant près de 5 millions d’utilisateurs ». Et le résultat apparaît meilleur que l’an dernier : pour la précédente édition de cette étude, le niveau général de maturité des grandes organisations françaises s’établissait à 46 %. 

Le progrès est donc là, mais il reste modéré. Gérôme Billois, partenaire du cabinet, souligne toutefois que le seul gain de 3 points « représente déjà un investissement fort ». Lequel se traduit par exemple par un équivalent temps plein (ETP) dédié à la cybersécurité pour 1 300 employés ; une amélioration de 11 % sur un an.

Des résultats concrets sont déjà perceptibles : « nos interventions concernent de plus en plus des attaques détectées plutôt rapidement, avant qu’il n’y ait eu d’impact majeur ». L’actualité en témoigne effectivement, avec des cas comme ceux de la ville de Caen, et la Collectivité européenne d’Alsace, pour n’en citer que deux. Et pourtant, le secteur public n’est pas le mieux doté : en ce qui le concerne, le niveau de maturité est à la traîne, à seulement 36,1 %. 

L’impact réglementaire est évident, mais à double tranchant. Certes, le niveau de maturité atteint 56,1 % pour les entreprises soumises aux réglementations NIS/LPM (OSE/OIV) contre 46,4 % pour les autres. Mais Gérôme Billois est prudent ; certains RSSI regrettent de devoir faire plus de la conformité que véritablement de la sécurité. Un constat qui vaut aussi, voire particulièrement, pour le secteur des services financiers. 

Malgré les progrès, 23 % des grandes organisations étudiées restent très fragiles au risque d’attaque avec ransomware. Et ce n’est pas franchement une surprise alors que les infostealers jouent un rôle majeur dans l’écosystème cybercriminel. 

Face à cela, l’authentification à facteurs multiples (MFA) est essentielle. Las, si 70 % des sondés indiquent l’avoir déployée pour leurs utilisateurs finaux, le taux de couverture de ces derniers n’est encore que de 65 %. C’est toutefois mieux que pour l’édition précédente de l’étude : le taux d’adoption n’était alors que de 61 % pour un taux de couverture des utilisateurs de 63 % en moyenne.