Cybersécurité : les entreprises françaises sur le qui-vive

Si les responsables de la sécurité informatique se disent mieux préparés face à la menace cyber, 80% redoutent l'imminence d'une attaque d'envergure. Un chiffre bien supérieur à la moyenne mondiale.

Chaque année, Proofpoint mène l’enquête auprès des RSSI du monde entier pour comprendre leurs priorités ainsi que leurs préoccupations. Cette année, le rapport 2022 Voice of the CISO a recueilli l’avis parfois surprenant de plus de 1 400 responsables de la sécurité des systèmes d’information (RSSI) à travers le monde.

Le précédent rapport révélait déjà qu’une grande majorité de RSSI était inquiète, préoccupée par l’escalade du paysage des cybermenaces, et incertaine quant aux actions à mener pour les contrer efficacement. Avec l’augmentation record du nombre d’attaques par ransomwares et compromission d’e-mails professionnels (BEC), on pouvait naturellement s’attendre à ce que les résultats de la nouvelle enquête soient similaires.

C’est donc avec surprise que l’on découvre, à travers les résultats mondiaux de ce dernier sondage, une communauté de RSSI plus détendue et plus à l’aise que l’année dernière.

Ce constat n’est en revanche pas le même pour la France. S'ils se disent mieux préparés, les responsables sécurité interrogés apparaissent bien plus inquiets que la moyenne mondiale quant à l’éventualité d’une cyberattaque imminente, et d’envergure. 

La bonne nouvelle

Les équipes de sécurité ont eu la vie dure depuis quelques années. Les défis apportés par le Covid n’étaient que la partie émergée de l’iceberg où s’agrègent menaces, risques et autres périls. Les RSSI ont dû s’adapter à un ensemble de responsabilités toujours plus nombreuses, de la sécurité opérationnelle quotidienne, au développement de nouvelles applications et nouveaux produits, à la continuité des activités, la conformité, la confidentialité, la gestion des risques et, de plus en plus, la sécurité physique des collaborateurs.

Il est donc intéressant de constater que les RSSI semblent penser qu’ils ont traversé avec succès cette période compliquée et qu’ils en sont sortis indemnes. Ils ont raison de se féliciter de leurs efforts au cours de ces deux dernières années. C’est la preuve qu’ils ont su opérer des choix stratégiques en termes de contrôles, de gestion et de planification.

Et les résultats sont là : alors qu’en 2021, 78% des RSSI français interrogés estimaient ne pas être préparés à faire face à une attaque ciblée, ils ne sont plus que 37% cette année. Pour les RSSI français donc, si le paysage des cybermenaces reste inquiétant, leur posture de sécurité semble elle s’être renforcée. Par ailleurs, 72% d’entre eux ont déclaré avoir souscrit à une assurance cyber, une proportion bien supérieure à la moyenne mondiale qui s’établit autour de 58%.

Les moins bonnes nouvelles

Si les niveaux de préparations se sont nettement améliorés, l’état d’alerte lui, ne cesse de grandir. Le résultat le plus marquant de cette étude concernant la France est l’inquiétude généralisée des RSSI quant à l’éventualité d’une cyberattaque d’envergure. Ce sont en effet 80% des Français sondés qui estiment que ce risque est bien réel et imminent (contre une moyenne globale de 48%), un chiffre par ailleurs en progression de 12 points comparé à l’an dernier.

Causes majeures de leur appréhension ? L’erreur humaine et le phénomène de "grande démission". Pour plus de 60% d’entre eux, l’augmentation des départs met à mal l’intégrité des données, et les collaborateurs restent la principale vulnérabilité de l’entreprise. Cela étant dit, seule la moitié des RSSI français interrogés disent avoir multiplié la fréquence de leurs formations à la cybersécurité, un aspect qui mériterait sans doute d’être mieux considéré. Le DBIR de Verizon et le Forum économique mondial en ont d’ailleurs tiré les mêmes conclusions.

À noter enfin que l’une des plus grandes déceptions révélées par ce sondage réside dans la relation parfois tendue entre les RSSI et leur conseil d’administration, surtout dans les entreprises de plus de 5 000 employés. Si les attentes sont perçues comme moins excessives, seuls 28% des RSSI français considèrent que leur comité exécutif s’accorde avec eux sur les questions de cybersécurité.

Les priorités à venir

Si au niveau mondial, les RSSI semblent voir 2022 comme le "calme après la tempête", ce n’est peut-être pas vraiment le cas en France. En effet, et particulièrement dans le contexte géopolitique actuel, la tempête ne s’est jamais vraiment calmée — nous y sommes simplement mieux préparés.

Quant aux priorités à venir :

  • 57% des RSSI français disent vouloir s’attacher à renforcer la protection des informations internes ;
  • 46% affirment que l'amélioration à la sensibilisation aux risques cyber est définitivement en jeu ; 
  • Pour 44 % des responsables, recourir à des stratégies de sous-traitance pour les solutions de sécurité et de contrôle est plus qu’envisageable.

Et si les deux premières catégories figurent toujours en bonne place dans l’agenda du RSSI, la dernière est presque certainement motivée par les événements survenus depuis 2020. Avec des employés qui travaillent à distance, ainsi que l’adoption généralisée de solutions cloud combinée à certains contrôles initialement prévus à court terme toujours en place, les configurations informatiques sont de plus en plus complexes et vulnérables, particulièrement face à des acteurs de la menace dont les techniques de BEC sont de plus en plus ciblées et sophistiquées.