Quel est le niveau de cybersécurité des entreprises françaises ?
Le baromètre Wavestone sur l’évaluation des entreprises françaises face aux cyberattaques, réalisé sur la base des données collectées dans 75 grandes entreprises, vient d’être publié. Et les entreprises françaises ne sont semble-t-il pas encore assez armées.
Le niveau de maturité de ces dernières est de 46% avec un avantage pour le secteur de la finance (54,4%), devant l’énergie (51,8%), loin devant l’industrie (44,8%), les services (42,5%) et le public (36,9%).
30% des organisations restent très fragiles aux risques d’attaque par ransomware.
Ce phénomène touche surtout les secteurs des services et le secteur public même si certains acteurs financiers ou industriels ne sont pas à l’abri.
Les très grandes organisations (type CAC40), du fait de leur niveau de maturité proche des 55%, sont des cibles moins faciles.
A cela s’ajoute la pénurie de talent, malgré les 15 000 postes disponibles, qui a pour effet consécutif de voir les organisations en manque de personnel spécialisé.
Alors que dans la finance Il y a une personne dédiée à la cyber pour 373 employés, l’énergie en compte 1 pour 946, les services 1 pour 1714, l’Industrie 1 pour 1798 et le public… 1 pour 2274.
En moyenne les entreprises n’investissent que 6,1% de leur budget informatique global pour la sécurité.
Le baromètre met en exergue le fait que le niveau de maturité sur la détection et la réaction aux attaques a rejoint le niveau d’efforts mis sur la protection grâce aux investissements effectués les années précédentes.
Mais en revanche, les entreprises pèchent en ce qui concerne la reconstruction suite à une attaque.
Les sujets les plus en difficultés aujourd’hui restent la sécurité des applications et des données, en particulier du fait du volume d’actifs concernés, et de manière plus surprenante la sécurité cloud.
Sur ce point, de très mauvaises pratiques sont encore en vigueur, avec par exemple plus de 42% des organisations évaluées qui permettent l’accès d’administration à leur système cloud avec un simple login / mot de passe…
Téléchargez le baromètre Wavestone
Le Campus cyber dévoile ses projections sur la cybersécurité à horizon 2030
Le Campus cyber a présenté le 24 mars dernier le fruit de ses travaux prospectifs sur la cybersécurité à horizon 2030. Il en déduit plusieurs priorités à mettre en œuvre en matière de lutte contre la cybercriminalité, développement de la résilience ou diffusion de la sécurité par défaut. Ces travaux ont vocation à servir de socle aux actions mises en place par le Campus cyber, qui prévoit par exemple des projets de R&D sur l’imputation des attaques ou la saisie des cryptoactifs.
L’objectif étant de donner aux acteurs du secteur “un coup d’avance” par rapport aux évolutions sociétales et de la cybercriminalité, souligne Yann Bonnet, directeur général délégué du Campus cyber.
Le livret publié à l’issue d’un an de travaux constitue le premier “commun” du campus.
QUATRE TENDANCES “EXTRAPOLÉES À L’EXTRÊME”
Sur la base d’interviews de “prospectivistes” et d’ateliers, les membres du groupe de travail “anticipation” piloté par Gérôme Billois, Partner cybersécurité chez Wavestone, ont imaginé quatre futurs possibles, sur la base de tendances “extrapolées à l’extrême” :
- Scénario 1 : une société “ultra-connectée”
Dans ce scénario, les grands acteurs du numérique se mettent d’accord en 2025 sur des standards d’interopérabilité. “Cet évènement a grandement accéléré le développement du numérique en rendant plus simple et fluide son utilisation au quotidien d’ici à 2030”, imagine le groupe de travail. De nouveaux usages du numérique et de nouvelles manières de travailler se développent ou apparaissent, détaille Gérôme Billois, en citant les monnaies électroniques, les objets connectés ou le metaverse. Mais ce contexte conduit à une “massification des cyberattaques” et une accélération de l’internationalisation de la cybercriminalité”.
- Scénario 2 : une société “ultra-cloisonnée”
“La révélation de pratiques scandaleuses dont les piratages, les vols et les recroisements de données réalisées par des gouvernements avec le support de sociétés privées sonnent le glas de la confiance numérique”, envisagent dans ce deuxième scénario les membres du Campus cyber. Les États réagissent en créant des frontières numériques et en nationalisant les chaînes d’approvisionnement stratégiques, ce qui soulève “de nombreux enjeux et de difficultés pour les multinationales”, observe Gérôme Billois. Le conflit russo-ukrianien a accéléré la concrétisation de ce scénario, les États et les entreprises remettant en cause l’utilisation de solutions opérées par des acteurs étrangers, observe-t-il. Dans le livret, le groupe de travail anticipe une cybercriminalité en repli, les attaquants étant réticents à agir au sein de leur propre pays, de peur d’être traduits en justice. En revanche, les attaques “très pointues” entre États se multiplient à des fins financières et de déstabilisation.
- Scénario 3 : une société “ultra-green”
“En 2025, le monde subit de plus en plus de catastrophes naturelles et sanitaires, ce qui entraîne des vagues migratoires sans précédent”, anticipe cette fois le groupe de travail. “Le grand public fait pression sur les institutions gouvernementales et les grands groupes pour prioriser leurs réponses aux enjeux environnementaux.” Les innovations technologiques sont orientées vers la réduction de l’impact environnemental du numérique. Ce contexte peut s’accompagner d’une “frustration” d’une partie de la population, selon Gérôme Billois. Il envisage, sur le modèle du marché carbone, la mise en place de quotas, qui pourraient être ciblés par des criminels. Dans cette hypothèse, l’activisme numérique se déploie à l’encontre de systèmes considérés comme trop énergivores.
- Scénario 4 : une société “ultra-réglementée”
Selon ce dernier scénario, “les attaques et scandales d’utilisation de données à caractère personnel continuent de se multiplier et rompent la confiance dans le numérique”. Deux philosophies s’affrontent entre “ceux qui voient la donnée à caractère personnel comme un bien commun à protéger” et ceux qui se positionnent en faveur de la monétisation des données, se projette Gérôme Billois. Les entreprises font face “à des difficultés pour se conformer aux différentes réglementations“. Côté cybercriminalité, le groupe de travail anticipe une “hausse du chantage“, avec des menaces de dénonciation en cas de mauvaises pratiques. “Le nombre de victimes et le gain des cyberattaques s’envolent, favorisant le développement économique des filières criminelles.”
L’IA POUR IDENTIFIER LES ATTAQUANTS ET RECONSTRUIRE
En se basant sur ces scénarios, le groupe de travail a identifié plusieurs priorités “pour construire un futur qui soit le positif possible”. Elles reposent sur trois invariants, à savoir la coopération, l’échelle européenne, la “sobriété numérique“. Sur ce dernier point, Gérôme Billois souligne l’ampleur des travaux à mener pour augmenter l’efficacité et réduire l’impact du chiffrement des données, minimiser le nombre de sauvegardes, et optimiser l’énergie nécessaire au fonctionnement des cryptoactifs et de la blockchain.
“Combattre l’impunité des cybercriminels” fait partie des priorités citées par le Campus cyber. “Le problème de l’identification et de l’imputation des attaques à leur auteur reste saillant et complexe.” Si certaines solutions résident dans la coopération nationale entre les forces de l’ordre, le Campus cyber souhaite encourager le développement de systèmes d’intelligence artificielle “pour croiser les données et cibler plus rapidement les cybercriminels”, indique Gérôme Billois. Concrètement, le Campus cyber entend lancer des projets de R&D d’une part sur l’imputation des attaques, d’autre part pour remonter ou suivre les parcours d’argent et automatiser la saisie des cryptoactifs.
Autre priorité : “permettre la résilience à grande échelle grâce à l’automatisation et l’IA”. Plusieurs entreprises de cybersécurité travaillent déjà sur la capacité à reconstruire “quasi automatiquement” des systèmes après une attaque, mais “la solution idéale n’a pas encore été trouvée”. Pour favoriser son émergence, le Campus cyber prévoit de développer une plateforme d’expérimentation des usages d’IA dans la cyber et favoriser la mise à disposition de jeux de données pour permettre des expérimentations.
LE “CRAN D’APRÈS” SUR LA “SECURITY BY-DESIGN”
Pour “insérer par défaut la sécurité dans tous les systèmes d’information” le Campus cyber soutient la création d’un standard d’évaluation du cyberscore et son déploiement. Il compte en outre mener un benchmark des solutions existantes, et porter des projets de recherche sur la sécurité des produits et des organisations. Pour les acteurs de la cybersécurité, l’État doit également “passer le cran d’après” en matière de réglementation sur ce sujet, rapporte Gérôme Billois.
Le groupe de travail appelle en outre à “redonner le contrôle à chacun sur sa vie numérique et ses données”, ce qui devrait passer par une identité numérique “forte et stable dans le temps”, estime le consultant. Il évoque également la nécessité d’élargir le chiffrement au traitement : un challenge sera lancé sur le chiffrement homomorphique, “qui permet de traiter des données en les laissant chiffrées”.
Enfin, le Campus cyber fixe comme priorité le développement de l’attractivité de la cyber, alors que près de 15 000 postes sont vacants, souligne Gérôme Billois. La SAS entend développer un portail de la formation et de l’emploi, renforcer la coopération avec l’éducation nationale, et mutualiser les actions de communication.
LE QUANTIQUE POUR LES ANNÉES 2040-2050
Perçu à la fois fois comme une “menace” et comme une “opportunité”, le quantique est considéré par le groupe “anticipation” comme un sujet qui arrivera à maturité dans les années 2040 ou 2050. “L’apport et l’efficacité des approches sur le quantique restent à évaluer, mais elles pourraient permettre de mettre en œuvre des mécanismes nouveaux, avec une plus-value importante pour la cyber.”