Les entreprises résistent mieux aux cyberattaques

Des entreprises mieux armées. En 2022, 45% des entreprises ont subi au moins une cyberattaque réussie, cause de dommages matériel et réputationnel, contre 54% en 2021 et 65% en 2019, selon la huitième édition du baromètre OpinionWay pour le Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) réalisé auprès de plus de 300 responsables cybersécurité de grandes entreprises et d’ETI/PME. Les actions mises en place « portent donc leurs fruits », se félicite Alain Bouillé, directeur général du Cesin. Les attaques de ransomwares reculent aussi, concernant 14% des entreprises, contre 18% un an plus tôt. « Le taux de paiement des rançons diminue, constate Mylène Jarossay, Chief Information Security Officer de LVMH et présidente du Cesin. C’est dont moins lucratif pour les hackers ». Pour autant, la perception ne suit pas. Les deux tiers des répondants estiment que le nombre d’attaques est resté stable, et un quart pense qu’il a augmenté.

Les vecteurs d’attaque restent les mêmes, en particulier le phishing (cité par 74% des sondés), devant l’exploitation d’une faille (45%) et l’arnaque au président (41%), mais les attaques indirectes via un prestataire (24%) progressent. « La gestion des risques liés aux tiers, notamment via la supply-chain, est de plus en plus un sujet pour nos membres », constate Mylène Jarossay. Ces attaques ont pour principales conséquences, le vol de données (35%) et l’usurpation d’identité (33%).

La négligence interne reste le premier risque

Pourquoi ces attaques réussissent ? La négligence ou l’erreur de manipulation d’un administrateur interne ou d’un salarié reste le premier risque (38%), devant les vulnérabilités résiduelles permanentes (37%), le Shadow IT, c’est-à-dire l’utilisation de logiciels non contrôlés par le service informatique de l’entreprise (35%) et les cyberattaques opportunistes (35%). Le non-respect des règles de base par les informaticiens reste problématique, souligne le Cesin. De plus, seulement deux tiers des salariés respectent les recommandations. Après une cyberattaque, 60% des sociétés enregistrent un impact sur leur activité, dont un quart sur leur production. En outre, une entreprise sur deux se dit préoccupée par le cyber-espionnage.

La meilleure résistance aux cyberattaques s’explique notamment par la plus grande confiance des entreprises dans les solutions de sécurité. 88% les jugent adaptées. Elles en utilisent en moyenne 15, parfois jusqu’à 50 pour les plus grandes entreprises. « Tout ce qui est détection et réponse rapide est de plus en plus utilisé », constate Mylène Jarossay. Mais, les campagnes de sensibilisation des utilisateurs restent primordiales.

Si les trois quarts des entreprises estiment avoir les moyens de se prémunir contre une attaque, seulement la moitié juge avoir une pleine capacité de reconstruction après l’attaque. Désormais une sur deux a mis en place un programme d’entraînement à la crise cyber (contre 44% en 2021).

Seul un quart des victimes utilise sa cyberassurance

Nerf de la guerre, le budget cyber se maintient, voire progresse légèrement. Il pèse 5% à 10% du budget IT pour 45% des entreprises, moins de 5% pour 40%. Si deux tiers des entreprises ont souscrit une cyberassurance, une sur dix hésite à la renouveler – compte tenu de l’évolution des tarifs et de la couverture assurantielle amoindrie – et 2% n’ont pas renouvelé leur contrat. D’autant que les trois quarts des assurés n’utilisent pas leur cyberassurance lors d’une attaque, et 60% des autres expliquent que la mise en œuvre de l’assurance a été compliquée.

Seulement 57% des sociétés (+5 points en un an) se disent confiantes dans leur capacité à faire face aux cybers risques. Mais les trois quarts reconnaissent que ce risque est porté par le comex. Pour l’avenir, les entreprises se fixent trois enjeux prioritaires : placer la gouvernance de la cybersécurité au bon niveau de l’entreprise, trouver le bon modèle opérationnel pour la mise en œuvre, adapter les solutions à la transformation numérique de l’entreprise. Pour y arriver, les deux tiers comptent accroître leur budget et la moitié leurs effectifs.