Alors que les cyberattaques se multiplient (criminalité, hacktivisme, état) – encore plus dans un contexte géopolitique bouleversé – les entreprises françaises doivent toujours accélérer leur transformation numérique. Dans ce contexte, quel est le niveau de sécurité des différents secteurs en France ? Quelles sont les forces et faiblesses des grandes organisations en matière de cybersécurité ?
Pour répondre à ces questions, le cabinet de conseil Wavestone a réalisé un benchmark détaillé et basé sur une évaluation terrain de plus de 180 mesures de sécurité. Depuis 3 ans, les données de plus de 75 organisations, représentant plus de 3 millions d’utilisateurs, ont été consolidées et analysées. Les résultats illustrent le long chemin restant à parcourir pour les grandes organisations puisque celles-ci obtiennent un score global de maturité de seulement 46%, relatif aux exigences des normes internationales NIST CSF Framework & ISO 27001/2.
Avec 46% : le niveau de maturité cyber des grandes organisations françaises n’atteint pas la moyenne
Avec un niveau de maturité général qui atteint seulement 46%, l’étude révèle néanmoins une hétérogénéité en fonction des secteurs. Celui de la Finance tire son épingle du jeu avec un score de 54,4 %. Ce résultat s’explique par les investissements conséquents et historiques réalisés dans ce secteur, encouragés par les réglementations. Le secteur de l’Énergie suit de près (51,8%) et celui des Services (42,5%) avec le public (36,9%) ferme la marche. Ces derniers, bien que conscients des risques, peinent à identifier les financements nécessaires. Avec un score de 44,8%, le secteur industriel est globalement en retard et en position inconfortable alors qu’il mène sa transformation numérique.
Les entreprises soumises aux réglementations sur la sécurité des infrastructures critiques (NIS/LPM) se démarquent et sont plus matures (55,4% VS 43,3%).
Face aux risques d’une attaque par ransomware, 30% des organisations sont dans une situation à risque
Wavestone gère de nombreuses cyberattaques pour le compte de ses clients grâce à son équipe de réponse à incident le CERT-Wavestone. Les principales failles utilisées par les cybercriminels ont été identifiées et une analyse particulière de la maturité a été réalisé. De cette analyse ressort que :
- 30% des organisations restent très fragiles aux risques d’attaque par ransomware. Ce phénomène touche surtout les secteurs des services et le secteur public même si certains acteurs financiers ou industriels ne sont pas à l’abri.
- Les très grandes organisations (type CAC40), du fait de leur niveau de maturité proche des 55%, sont des cibles moins faciles.
Les effectifs restent le nerf de la guerre…
En France, comme à l’échelle mondiale, la cybersécurité fait face à une pénurie de talents constante : plus de 15 000 postes sont disponibles mais non couverts. Les grandes entreprises tentent d’inverser la courbe et renforcent de plus en plus leurs équipes mais les écarts sont importants en fonction de la maturité digitale des secteurs.
En ce qui concerne les effectifs dans les organisations évaluées, il a moins d’1 personne dédiée à la cybersécurité pour 1500 employés, un chiffre trop faible pour faire face aux enjeux actuels. Les disparités sectorielles sont sur ce thème encore plus marquées.
… autant que les investissements financiers dédiés
Sur le budget informatique global des entreprises, 6,1% est dédié à la sécurité. Un nombre qui peut paraître faible à première vue, mais qui augmente significativement en cas d’incident cyber pour avoisiner les 13%.
Gérôme BILLOIS, Associé en charge de l’activité cybersécurité de Wavestone, ajoute d’ailleurs que « la matérialisation d’une crise permet une mobilisation à haut niveau du coté exécutif ; elle engendre également les mécaniques permettant des niveaux d’investissements très forts ».
D’un point de vue sectoriel, ceux qui investissent le plus sont l’industrie (7%) et les services publics (6,6%). À l’inverse de la Finance (5,8%), de l’Énergie (5,5%) et des Services (4%). Il est à noter que la finance a largement investie les années précédentes et qu’elle dispose de budgets informatiques sans commune mesure avec les autres secteurs d’activité.
De nombreux challenges à relever pour les entreprises françaises
- Sur les axes stratégiques de la cybersécurité, le niveau de maturité sur la détection et la réaction aux attaques a rejoint le niveau d’efforts mis sur la protection (avec respectivement 46%, 45% et 47%). Cela est dû aux investissements massifs observés ces dernières années dans ces domaines. Toutefois, la reconstruction à la suite d’une attaque reste le parent pauvre, à 40% de maturité.
- Sur les technologies de protection, une majorité des organisations évaluées ont réussi à déployer largement les solutions les plus efficaces : les EDR (outil de protection avancée des ordinateurs et serveurs) et l’authentification multi-facteurs (MFA). Respectivement 51% des organisations ont déployé un outil EDR à hauteur de 67% en moyenne ; et 61% d’entre elles organisations ont déployé du MFA à hauteur de 63% en moyenne. Mais beaucoup reste à faire sur la sécurité de l’Active Directory (seul 24% analysent les incidents au niveau de leur centre de cybersurveillance) et en ce qui concerne la résilience aux attaques (seules 17% des organisations ont testé intégralement leur plan de reprise informatique).
- Dans le secteur de l’industrie, la plus grande problématique reste la sécurité des systèmes d’information industriels (35% de maturité). Des systèmes historiques ont été conçus sans sécurité par défaut et s’ouvrent désormais du fait de la transformation numérique. De premiers efforts ont été fait pour mettre en place une gouvernance (50%) et des travaux d’isolation ont commencé (66%) mais sont souvent difficiles à mener jusqu’au bout. De plus ces périmètres sont aujourd’hui très peu surveillés (22%).
- Les sujets les plus en difficultés aujourd’hui restent la sécurité des applications et des données, en particulier du fait du volume d’actifs concernés, et de manière plus surprenante la sécurité cloud. Sur ce dernier point, de très mauvaises pratiques sont encore en vigueur, avec par exemple plus de 42% des organisations évaluées qui permettent l’accès d’administration à leur système cloud avec un simple login / mot de passe.
« De manière instinctive, on pense que le cloud est sécurisé. C’est vrai pour ce qui est de la responsabilité des fournisseurs, mais beaucoup d’actions restent de la responsabilité des organisations utilisatrices… et sont malheureusement souvent oubliées ! C’est un point majeur pour la sécurité des nouvelles applications », déclare Gérôme BILLOIS.
Méthodologie de l’étude
Les niveaux de maturité ont été mesuré par rapport aux référentiels internationaux (NIST CSF / ISO 27001/2) lors de missions d’évaluation réalisés par des consultants de Wavestone, majoritairement sous forme d’entretien déclaratif avec les responsables sécurité des organisations concernées. L’échantillon, datant du 1 mars 2021, regroupe plus de 75 organisations (dont les 2/3 avec plus de 10 000 employés et 15 groupes du CAC40) ce qui représentent plus de 3 millions de collaborateurs en France. Les données issues de ces évaluations individuelles ont ensuite été consolidées et analysées par les équipes de spécialistes de Wavestone.