BFM Business
Direct Radio Radio Direct tv DirectTV
Services

Seulement 4 entreprises sur 10 sont préparées en cas de cyber-attaque de grande ampleur

Le
-

- - AFP

Une étude du club des experts de la sécurité de l'information et du numérique (Cesin) fait le point sur les mesures prises par les entreprises françaises pour faire face à des attaques toujours plus nombreuses et sophistiquées.

2019 fut encore une année tendue sur le front de la sécurité informatique et 2020 démarre en trombe avec l'attaque contre Bouygues Construction. Entreprises grandes et petites, mais aussi administrations, hôpitaux ou même des villes entières ont été attaquées, voire paralysées notamment à travers une flambée de "ransomwares" (technique qui consiste à bloquer un système informatique à travers un malware et à demander une rançon pour libérer les données).

La médiatisation toujours plus forte de ces attaques (avec comme point d'orgue les offensives qui ont visé Altran, Fleury Michon, Eurofins et Airbus) et leurs conséquences financières de plus en plus lourdes (usines paralysées, impact sur la production) poussent les entreprises à renforcer leurs arsenaux pour se protéger et mieux répondre aux attaques.

La dernière étude du Cesin, le club des experts de la sécurité de l'information et du numérique, fait d'ailleurs le point sur ce degré de préparation.

Résultat, seulement 39% des entreprises affirment être suffisamment préparées en cas de cyber-attaques de grande ampleur et 14% se déclarent même "pas du tout prêtes".

Quelles sont les solutions mises en place?

Chez les entreprises sondées, un bouquet de 12 solutions techniques (en moyenne) est mis en place. D'ailleurs, 83% d'entre-elles jugent que les solutions proposées sur le marché sont adaptées.

Le gros des dépenses est orienté vers les solutions de type:

- Passerelle de sécurité mail et VPN (85% des entreprises interrogées ont mis en place cette protection)

- Proxy et filtrage d'URL afin de bloquer des sites web considérés comme dangereux (83%)

- Authentification multi-facteurs (72%, en progression de 11 points sur un an)

En parallèle des solutions de protection, le nombre d’entreprises qui ont mis ou envisagent de mettre en place un programme de cyber-résilience (plans de reprise ou de continuité) augmente de 12 points en un an à 91% (pour 19%, ce programme est effectif). Elles sont également plus nombreuses à avoir souscrit une cyber-assurance (à 60% contre 50% en janvier 2019). 

Et les budgets consacrés à la sécurité informatique sont en hausse, tout comme les recrutements dédiés (RSSI ou responsable de la sécurité des systèmes d'information) même si 90% indiquent faire face à une pénurie de candidats.

Mises bout-à-bout, ces mesures montrent leur efficacité. Si 65% des entreprises interrogées ont constaté au moins une cyber-attaque au cours de l'année écoulée (10% en ont même observé au moins 15), c'est 15 points de moins que dans l'étude annuelle précédente. Reste que le nombre de cyber-attaques par entreprise ne diminue pas.

La menace interne

Le phishing (email trompeur) reste le vecteur d'attaque le plus utilisé (cité par 79% des entreprises) suivi par les arnaques au président (47%). Dans ces deux cas, le salarié est le maillon faible puisque c'est lui qui par exemple clique sur un lien reçu par mail perçu comme légitime alors qu'il ne l'est pas, ouvrant ainsi la porte à une usurpation d’identité et une infection par malware. 43% des entreprises interrogées ont été confrontées à une négligence ou une erreur de manipulation ou de configuration d'un salarié.

Mais selon Panocrim, le panorama 2019 du cybercrime établi par le Clusif (le Club de la sécurité de l'information français), les sites web, les logiciels, les supports de stockage ou encore les objets connectés constituent également des sources d'infection importantes. 

Et selon une autre étude récente, de l'éditeur de sécurité Proofpoint cette fois, les menaces internes ont coûté plus de 11 millions de dollars par an aux entreprises touchées, soit une augmentation de 31% par rapport aux 8,76 millions de dollars dépensés en 2018.

Sensibilisation en hausse

Paradoxalement, 74% des entreprises déclarent que leurs salariés sont sensibilisés aux cyber-risques et 55% pensent que les salariés respectent les recommandations. 21% estiment néanmoins qu'il est prioritaire de mieux former et sensibiliser les usagers aux questions de cyber-sécurité.

Malgré cette prise de conscience et des moyens revus à la hausse, près d’une entreprise sur deux (48%) se dit toujours inquiète sur sa capacité à faire face aux cyber-risques...

Sur le même sujet

Pour avancer sur la question, l'Observatoire de la sécurité des systèmes d'information et des réseaux (Ossir) et le Clusif ont profité du Forum international de la cybersécurité qui s'est tenu fin janvier à Lille pour présenter un livre Blanc afin de sensibiliser les dirigeants d'entreprise à la cybersécurité. Le tout sans jargon technique...

Olivier Chicheportiche

A la Une

Alcool, drogue et dispute conjugale: le récit d'une nuit ayant tourné au drame pour Kendji Girac