Baromètre annuel du Cesin : là aussi, la menace des rançongiciels apparaît reculer

Le Club des experts de la sécurité de l’information et du numérique (Cesin) vient de rendre publics les résultats de la dernière édition du sondage réalisé par OpinionWay, auprès de ses adhérents.

Un peu plus de 400 personnes ont participé à cette 10^e édition – contre 450 pour la précédente – dont 14 % représentent des TPE/PME, 39 % des ETI, et 47 % des grandes entreprises. Dans le lot, 16 % relèvent des services publics.

Dans cette édition, 47 % des sondés disent avoir constaté au moins une cyberattaque au cours des 12 derniers mois, soit deux points de moins que l’an dernier, mais toujours deux points de plus qu’en 2022. 

La notion de cyberattaque est stable, mais mérite d’être rappelée : c’est « le fait de subir un acte malveillant envers un dispositif informatique, portant atteinte de manière significative à la confidentialité et/ou à l’intégrité de l’information de l’entreprise ou encore à la disponibilité du système d’information, entraînant des pertes financières significatives et/ou une atteinte à l’image de l’entreprise et/ou des efforts significatifs de défense pour contenir et traiter l’attaque ».

Surtout, « nous ne comptons pas là les tentatives d’attaques qui ont été arrêtées par [les] systèmes de prévention ». Dans la perspective de cette définition, une cyberattaque détectée et bloquée – à un stade si précoce que les efforts de traitement nécessaires sont soit très limités, soit inexistants – n’est pas comptée comme telle.

À l’inverse, une cyberattaque est avérée si elle est décelée et nécessite « des efforts significatifs » pour être contenue et traitée, même s’il n’y a pas eu de déploiement ni de déclenchement de rançongiciel, notamment.

Dans un communiqué de presse, le Cesin voit dans ce résultat un « chiffre stable par rapport à l’année précédente » et, surtout, le reflet d’une « maturité croissante des organisations les mieux équipées en ressources et solutions de sécurité, malgré une menace toujours plus présente ».

La mise en perspective de la stabilité constatée parmi les membres du Cesin avec le recul observé de la menace des rançongiciels en France en 2024 suggère toutefois une lecture moins optimiste. Le décalage est d’autant plus marqué que 19 % des sondés disent avoir subi une augmentation du nombre de cyberattaques l’an dernier. Cette part atteint 37 % pour ceux ayant déclaré avoir subi au moins l’une d’entre elles. 

Mais la définition du Cesin couvre plus que les attaques se traduisant par une intrusion dans le système d’information, à commencer par les attaques en déni de service. Et ces dernières ont été bien représentées en 2024 ; elles sont citées par 41 % des sondés. 

Du côté des conséquences, justement, le déni de service (avéré, donc) est mentionné par 36 % des répondants ayant subi une cyberattaque, juste derrière le vol de données, à 42 %. Point notable et cohérent avec les autres observations : le fort recul du chiffrement avec ransomware, à 9 % en recul de 9 points sur un an. Sans surprise, l’extorsion recule aussi, à 5 % contre neuf pour l’année précédente. Il n’y en a pas moins eu un impact sur l’activité commerciale des victimes, pour 65 % d’entre elles, avec en premier lieu une perturbation de la production.

Sur les causes des incidents de sécurité rencontrés, les répondants ont le mérite d’une sincérité venant (à nouveau) contredire le mythe de l’utilisateur négligent : en tête des causes, on trouve ainsi le défaut de configuration, suivi des vulnérabilités résiduelles, puis des défauts de gestion des comptes et/ou des droits associés. Le Cesin proposait aussi à ses sondés de répondre, sur ce point, la « cyberattaque opportuniste », arrivé en tête, mélangeant cause et motivation. 

La crainte de l’espionnage cyber recule de 4 points parmi les sondés d’un an sur l’autre, 63 % des sondés l’appréhendant comme un risque assez faible à très faible.

L’EDR et l’authentification à facteurs multiples (MFA) sont plébiscités, avec 95 % des répondants les jugeant efficaces, dont 64 % très efficaces pour le premier, et 60 % pour le second. C’est très loin devant toute autre technologie de cybersécurité, y compris les pare-feu : ils sont jugés efficaces par 95 % des sondés, mais seulement 43 % les considèrent comme très efficaces.

À défaut d’être extrapolables directement à tout le tissu économique français, les résultats de l’étude du Cesin laissent entrevoir, au moins parmi les membres du club, une progression de la propension à porter plainte en cas de cyberattaque, 62 % des répondants concernés ayant indiqué l’avoir fait, contre 59 % pour l’édition 2023 et 54 % pour la précédente.