Cyber Benchmark : où en sont les grandes entreprises françaises ?

Alors que les cyberattaques se multiplient (criminalité, hacktivisme, état) – encore plus dans un contexte géopolitique bouleversé – les entreprises françaises doivent toujours accélérer leur transformation numérique. Dans ce contexte, quel est le niveau de sécurité des différents secteurs en France ? Quelles sont les forces et faiblesses des grandes organisations en matière de cybersécurité ?

Pour répondre à ces questions, le cabinet de conseil Wavestone a réalisé un benchmark détaillé et basé sur une évaluation terrain de plus de 180 mesures de sécurité. Depuis 3 ans, les données de plus de 75 organisations, représentant plus de 3 millions d’utilisateurs, ont été consolidées et analysées. Les résultats illustrent le long chemin restant à parcourir pour les grandes organisations puisque celles-ci obtiennent un score global de maturité de seulement 46%, relatif aux exigences des normes internationales NIST CSF Framework & ISO 27001/2.

Les entreprises soumises aux réglementations sur la sécurité des infrastructures critiques (NIS/LPM) se démarquent et sont plus matures (55,4% VS 43,3%).

Wavestone gère de nombreuses cyberattaques pour le compte de ses clients grâce à son équipe de réponse à incident le CERT-Wavestone. Les principales failles utilisées par les cybercriminels ont été identifiées et une analyse particulière de la maturité a été réalisé. De cette analyse ressort que :

• 30% des organisations restent très fragiles aux risques d’attaque par ransomware. Ce phénomène touche surtout les secteurs des services et le secteur public même si certains acteurs financiers ou industriels ne sont pas à l’abri.
• Les très grandes organisations (type CAC40), du fait de leur niveau de maturité proche des 55%, sont des cibles moins faciles.

D’un point de vue sectoriel, ceux qui investissent le plus sont l’industrie (7%) et les services publics (6,6%). À l’inverse de la Finance (5,8%), de l’Énergie (5,5%) et des Services (4%). Il est à noter que la finance a largement investie les années précédentes et qu’elle dispose de budgets informatiques sans commune mesure avec les autres secteurs d’activité.

• Sur les axes stratégiques de la cybersécurité, le niveau de maturité sur la détection et la réaction aux attaques a rejoint le niveau d’efforts mis sur la protection (avec respectivement 46%, 45% et 47%). Cela est dû aux investissements massifs observés ces dernières années dans ces domaines. Toutefois, la reconstruction à la suite d’une attaque reste le parent pauvre, à 40% de maturité.

• Sur les technologies de protection, une majorité des organisations évaluées ont réussi à déployer largement les solutions les plus efficaces : les EDR (outil de protection avancée des ordinateurs et serveurs) et l’authentification multi-facteurs (MFA). Respectivement 51% des organisations ont déployé un outil EDR à hauteur de 67% en moyenne ; et 61% d’entre elles organisations ont déployé du MFA à hauteur de 63% en moyenne. Mais beaucoup reste à faire sur la sécurité de l’Active Directory (seul 24% analysent les incidents au niveau de leur centre de cybersurveillance) et en ce qui concerne la résilience aux attaques (seules 17% des organisations ont testé intégralement leur plan de reprise informatique).

• Dans le secteur de l’industrie, la plus grande problématique reste la sécurité des systèmes d’information industriels (35% de maturité). Des systèmes historiques ont été conçus sans sécurité par défaut et s’ouvrent désormais du fait de la transformation numérique. De premiers efforts ont été fait pour mettre en place une gouvernance (50%) et des travaux d’isolation ont commencé (66%) mais sont souvent difficiles à mener jusqu’au bout. De plus ces périmètres sont aujourd’hui très peu surveillés (22%).

• Les sujets les plus en difficultés aujourd’hui restent la sécurité des applications et des données, en particulier du fait du volume d’actifs concernés, et de manière plus surprenante la sécurité cloud. Sur ce dernier point, de très mauvaises pratiques sont encore en vigueur, avec par exemple plus de 42% des organisations évaluées qui permettent l’accès d’administration à leur système cloud avec un simple login / mot de passe.

« De manière instinctive, on pense que le cloud est sécurisé. C’est vrai pour ce qui est de la responsabilité des fournisseurs, mais beaucoup d’actions restent de la responsabilité des organisations utilisatrices… et sont malheureusement souvent oubliées ! C’est un point majeur pour la sécurité des nouvelles applications », déclare Gérôme BILLOIS.