Cyber Benchmark 2023 : quel niveau de maturité du marché ?

49 / 100

score de maturité globale

Avec un score global de maturité de 49% (+3 points depuis 2022), les entreprises ressentent les effets positifs de leurs investissements cyber des dernières années. C’est ce que révèle la quatrième édition du Cyber Benchmark, basé sur une évaluation terrain de près de 200 mesures de sécurité. Le Cyber Benchmark consolide et analyse les données de plus de 100 organisations, représentant près de 5 millions d’utilisateurs.

Le score attribué par le Cyber Benchmark est relatif aux exigences des normes internationales NIST Cybersecurity Framework et ISO 27001/2. Les résultats liés aux piliers NIST (identifier les risques, protéger, détecter, réagir) sont relativement homogènes : . En revanche, avec 43% de maturité seulement, la reconstruction à la suite d’une attaque reste le parent pauvre des stratégies de cybersécurité des grands groupes et entreprises.

Alors que les cyberattaques se multiplient (criminalité, hacktivisme, Etats) dans un contexte géopolitique bouleversé, les entreprises se retrouvent confrontées à une accélération de leur transformation numérique. Mais sont-elles vraiment équipées face aux menaces ? Quels sont les secteurs les plus matures en terme de cybersécurité ? Quels atouts les grandes organisations ont-elles à leur disposition, et de quels pièges doivent-elles se méfier ?

Une maturité cyber en hausse… mais de fortes disparités sectorielles

Le niveau de sécurité global de 49% cache de fortes disparités en fonction des secteurs. La Finance tire son épingle du jeu avec un score de 59,2 % (+4,8 points depuis 2022). Ce résultat s’explique par les investissements historiques réalisés dans ce secteur, encouragés par les réglementations (DORA, NIS2, CRA). L’Industrie est elle aussi en progrès (+4,6 points), résultat des efforts pour rattraper le retard accumulé. Les Services (44%) et le Public (36,1%) ferment la marche. Bien que conscients des risques, ces derniers peinent à identifier les financements nécessaires.

Cyber Benchmark 2023 - Des diffÃ©rences de maturitÃ© selon les secteurs

Effectifs : l'atout maître des stratégies cyber

Dans les organisations évaluées, les équipes continuent de grossir : on compte environ 1 personne dédiée à la cybersécurité pour 1300 employés, soit 11% de plus que l’an dernier. Pourtant, ce nombre semble rester trop faible aux regards des enjeux actuels. Certains acteurs cherchent à traiter le sujet de manière dédiée, en particulier grâce aux “talent management programs“.

En s’intéressant aux particularités de chaque secteur, on constante qu’un palier a été atteint dans la Finance.

Cyber Benchmark 2023 - Nombre moyen dâ€™employÃ©s pour une personne dÃ©diÃ©e Ã la cyber

Investissements : la fin d’un cycle

Dans les entreprises auditées, 5,6% du budget informatique global est dédié à la sécurité numérique. Relativement stable, ce chiffre indique la conclusion d’une période de fort financement.

D’un point de vue sectoriel, les plus gros budgets sont alloués par les Services Publics (6,6%), l’Industrie (6%) et le Luxe & Retail (6%). Piste d’explication : le retard à rattraper y est plus important, et la prise de conscience tardive montre aujourd’hui ses effets.

La Finance (5,4%) a quant à elle largement investi les années précédentes et dispose de budgets informatiques sans commune mesure avec les autres secteurs d’activité.

Cyber Benchmark 2023 - Comparaison des niveaux d'investissements

Les ransomwares à l’épreuve des nouvelles stratégies cyber

23%

des organisations
sont dans une situation critique face aux ransomwares.

Au jeu du chat et de la souris, les entreprises sont-elles en train de prendre l’avantage sur les ransomwares ? En 2022, face aux risques d’attaque par rançongiciel, 30% des organisations étaient dans une situation critique ; elles ne sont plus que 23% en 2023. C’est le résultat d’importants efforts fournis sur les sujets de la killchain : point d’entrée d’attaque (+3 points), infrastructure (+4 points), détection (+6 points) et gestion de crise (+3 points).

Cette progression se ressent sur le terrain, où l’on observe une diminution des incidents visibles sur les grandes structures. En réalité, les tentatives d’attaques ont toujours lieu : elles sont en revanche détectées et interrompues avant de générer trop de dégâts.

Des incidents mieux gérés, plus vite

1 entreprise sur 2

déploie un outil de réaction
type "Red Button"

Au cœur des investissements en réaction, on observe un mouvement de révision des processus : 43% des organisations ont formalisé les procédures d’arrêt d’urgence et communiquent tous les types d’incidents à leurs équipes (contre seulement 23% en 2022 !).

Parmi les outils de réaction déployés, près d’une entreprise sur deux a commencé à mettre en place un outil de type Red Button pour pouvoir rapidement isoler une partie du réseau en cas d’attaque.

Des attaques mieux détectées

Les stratégies de réaction sont renforcées par des outils de détection : 29% (+11 points) des organisations améliorent continuellement le traitement et l’utilisation opérationnelle des IOC, 58% (+15 points) disposent de sondes de détection connectées au SIEM, et 22% (+3 points) ont commencé à déployer des sondes d’analyse comportementale.

Les priorités d’investissements des dernières années montrent une volonté de mieux gérer les attaques et de réduire leur impact opérationnel.

Des vulnérabilités encore largement exploitées par les cybercriminels

Cloud : mieux administrer, superviser, détecter et remédier

Sujet clé, le Cloud a fait l’objet d’investissements importants. Ceux-ci portent aujourd’hui leurs fruits : le niveau de maturité atteint 44,5%, contre seulement 36,1% il y a un an.

La progression la plus importante se fait au niveau de l’administration Cloud: entre 2022 et 2023, 14% des organisations ont mis en place une authentification multi-facteurs (code en plus du mot de passe) ou un bastion (rebond intermédiaire) pour l’accès aux actions d’administration Cloud.
En matière de surveillance, alors que 42% des entreprises comptaient uniquement sur les alertes de leur fournisseur Cloud en 2022, elles ne sont plus que 38% en 2023.
70% des organisations disent vérifier automatiquement la conformité du Cloud à l’aide d’outils ; cependant, elles ne sont que 11% à corriger automatiquement les problèmes associés.

La sécurité des tiers face au défi d’une interconnexion croissante

La multiplication des liens avec les partenaires et les fournisseurs rend complexe la question de la sécurité des tiers. Les chiffres ci-dessous n’ont quasiment pas évolué depuis 2022, traduisant la complexité de la tâche.

63% des entreprises incluent des clauses de sécurité dans les contrats lors de la signature.
Seules 37% réalisent un audit régulier de leurs fournisseurs informatiques critiques, même si 61% les inventorient correctement.
Les organisations ne sont que 13% à tester leur plan d’intervention et de reprise avec leurs partenaires ou fournisseurs sur tous les périmètres critiques.

Systèmes industriels : des bases maîtrisées mais encore d’importantes lacunes

Dans le secteur de l’industrie, la problématique de la sécurité des systèmes d’information industriels demeure. Avec 37,6% de maturité (+3,4 points), de plus en plus de systèmes historiques conçus sans sécurité par défaut s’ouvrent désormais du fait de la transformation numérique. Les efforts pour mettre en place une gouvernance se poursuivent (71% contre 50% en 2022) et les travaux d’isolation continuent (86% contre 78%). Cependant, d’importantes lacunes sur des pratiques essentielles en matière de sécurité sont encore à déplorer : les périmètres sont toujours aujourd’hui très peu surveillés, avec seulement 37% des entreprises qui utilisent des outils de surveillance appropriés, et encore 42% qui effectuent leur filtrage de flux ad hoc !

Et demain ? Les tendances cyber à surveiller

En attendant l’édition 2024 du Cyber Benchmark, voici les sujets qui devraient occuper les discussions des responsables cybersécurité pour les mois et années à venir.

Cyber-résilience : un marché à deux vitesses

En matière de résilience, une ligne claire sépare le secteur financier du reste des organisations. Pourtant, les risques sont bien présents et toutes les entreprises sont concernées.

Alors que 70% des acteurs financiers revoient régulièrement leurs risques résiduels au niveau de leur Plan de Traitement des Risques (PTR), seulement 28% des entreprises des autres secteurs font de même.
60% des entreprises de la Finance améliorent continuellement leurs processus pour la gestion des incidents de sécurité, et possèdent différents plans de cyber-réponse en fonction des scénarios. C’est seulement 40% dans le reste des secteurs.
En matière de sécurité des tiers, 60% des entreprises en Finance ont mis en place un processus pour auditer régulièrement leurs fournisseurs, en fonction de leur criticité – contre seulement 32% pour le reste des secteurs.
Le plus marquant : 55% des entreprises financières testent tous les scénarios du Plan de Continuité d’Activité (PCA) au moins tous les deux ans (la réglementation DORA demande de le faire tous les ans). Seulement 9% des autres organisations effectuent ces tests.

Zero Trust, une stratégie majeure en déploiement

Le Zero Trust est l’un des enjeux majeurs de ces prochaines années en cybersécurité. Quelques chiffres illustrent son implémentation actuelle.

24% des entreprises ont mis en place une micro-segmentation automatique en fonction de l’exposition, de la sensibilité, de l’environnement, etc. – déployée à hauteur de 32% en moyenne.
14% ont intégré du Zero Trust Network Access basé sur l’identité à leurs environnements Cloud – déployé à hauteur de 46% en moyenne.
28% prennent en compte la sensibilité des ressources et le contexte de connexion et appliquent une authentification multifacteurs (MFA) avec accès conditionnel – déployée à hauteur de 73% en moyenne.
13% ont commencé à déployer un Security Orchestration, Automation and Response ( permettant d’isoler les ressources lors de la détection d’une alerte – déployé à hauteur de 48% en moyenne.

Les prochaines années seront réglementaires

Les prochaines réglementations, en particulier la déclinaison de la directive NIS2 (prévue fin 2023 et qui va toucher très largement le tissu économique national), seront clés pour faire progresser globalement la maturité du marché. Le défi : être attentif aux niveaux d’exigence pour permettre une progression, sans pour autant définir des objectifs irréalistes.

Méthodologie du Cyber Benchmark

Les niveaux de maturité des organisations ont été mesurés par rapport aux référentiels internationaux (NIST Cybersecurity Framework et ISO 27001/2). Cette évaluation a eu lieu lors de missions réalisées par des consultants de Wavestone, majoritairement sous forme d’entretiens déclaratifs avec les responsables sécurité des structures concernées. L’échantillon, datant du 1 avril 2023, regroupe plus de 100 organisations (dont une majorité avec plus de 10.000 employés et 30 groupes du Tier1 : organisations du CAC40, du FTSE100, ou avec plus de 100.000 employés), soit près de 5 millions de collaborateurs en France. Les données issues de ces évaluations individuelles ont ensuite été consolidées et analysées par les équipes de Wavestone.

Contacter nos experts