Baromètre Wavestone : quel est le niveau de cybersécurité des entreprises françaises ?

Le constat du cabinet Wavestone, acteur majeur du conseil en France, est sans appel : les entreprises françaises ont progressé dans leur préparation au risque cyber, mais l’effort global reste insuffisant. En mars 2022, le spécialiste de la transformation des organisations publie un baromètre évaluant les entreprises françaises face aux cyberattaques. Zoom sur les forces et faiblesses de nos entreprises en matière de cybersécurité.

Un benchmark détaillé bien rodé

Les cyberattaques explosent, et font des ravages dans les entreprises françaises. Étant donné le contexte géopolitique actuel, un état des lieux est plus que nécessaire. Le cabinet de conseil en cybersécurité Wavestone a réalisé, en mars 2022, un benchmark détaillé. Cet état des lieux s’appuie sur l’évaluation de plus de 180 mesures de sécurité. Les résultats obtenus sont établis sur des données collectées et analysées auprès de 75 organisations.

Une maturité des entreprises françaises insuffisante

Estimée à 46 % par le baromètre, la « maturité cyber » des grandes entreprises françaises est jugée « insuffisante », par rapport aux normes internationales définies par l’Institut national des normes et de la technologie.

Des disparités importantes entre les différents secteurs apparaissent. En effet, si la finance et l’énergie, avec 54,4 % et 51,8 % de maturité, tiennent le premier rang, les services (42,5 %) et le secteur public (36,9 %) sont très en retard. Il en ressort que ces derniers, bien que conscients des risques, peinent à identifier leurs besoins.

Pour contrebalancer ce constat, le cabinet souligne que les secteurs les moins matures sont ceux qui investissent le plus dans la cybersécurité. Les chiffres dévoilent que l’industrie consacre 7 % de son budget IT à la sécurité, pour pallier son taux insuffisant de maturité. Tandis que le secteur public y accorde 6,6 % de son budget. Ces deux secteurs sont tout de même au-dessus de la moyenne générale du budget IT que les organisations françaises peuvent dédier à la cybersécurité, celui-ci s’élevant à 6,1 %. Ces taux traduisent donc une volonté d’investir davantage dans la cybersécurité, et d’accroître ainsi leur taux de maturité.

Les résultats du baromètre mettent en garde contre les rançongiciels ou ransomware, car 30 % des organisations analysées sont “dans une cituation à risque”. Wavestone précise néanmoins que les très grandes organisations (type CAC40), du fait de leur niveau de maturité proche des 55 %, sont des cibles moins faciles.

Une pénurie globale de talents pour occuper des postes clés

La cybersécurité est aujourd’hui au cœur des priorités des entreprises du monde entier. De nombreux facteurs, comme la crise sanitaire et le contexte géopolitique, poussent les entreprises à relever les défis en matière de cybersécurité. Pourtant, les chiffres du baromètre Wavestone révèlent que beaucoup d’entreprises françaises n’ont pas encore les ressources nécessaires en interne, et que nous assistons à une pénurie globale de talents pour occuper des postes clés.

Plus de 15 000 postes sont disponibles mais non couverts. En outre, dans les 75 organisations évaluées, il y a moins d’une personne dédiée à la cybersécurité pour 1 500 employés. Un chiffre jugé trop faible pour faire face aux enjeux actuels. Là encore, les disparités sectorielles sont très marquées, voire spectaculaires.

La finance arrive à un ratio de 1 employé cyber pour 300 personnes, quand le second secteur (l’énergie) compte 1 employé pour 946 salariés, et le dernier (le secteur public) compte un employé cyber pour 2 274 individus.

Des indicateurs qui interrogent sur l’offre de formation en cybersécurité, sur la communication de ces formations, ou encore sur le manque d’identification des ressources et besoins de la part des entreprises.

Les défis à relever pour les entreprises françaises

Optimiser la reconstruction après une cyberattaque

Dans son étude, le groupe de conseil souligne les progrès réalisés en termes de détection et de réaction aux attaques (niveau de maturité de 46 % et 45 % respectivement) des entreprises françaises. Ils sont presque équivalents aux phases d’identification (46 %) et de protection (47 %). Cette homogénéité des niveaux de maturité illustre les efforts et investissements menés au cours des dernières années.

Toutefois, le cabinet de conseil en sécurité attire l’attention des entreprises sur la phase de reconstruction qui suit le processus de défense. Cette phase semble être la moins mature, avec un niveau estimé à 40 %.

Redoubler d’efforts pour sécuriser l’Active Directory et la résilience aux attaques

Le cabinet souligne que de nombreuses entreprises ont adopté des technologies efficaces de protection, et l’authentification multi-facteur. Ainsi, 51 % des entreprises ont déployé un outil EDR (Endpoint Detection and Response, une solution de détection des menaces de sécurité), et 61 % ont opté pour l’authentification multi-facteur.

Cependant, des efforts restent à fournir pour sécuriser l’Active Directory (centre névralgique de la sécurité des systèmes d’information Microsoft), pour lequel seulement 24 % des organisations analysent les incidents au niveau de leur centre de cybersurveillance. De même, 17 % des entreprises ont testé leur plan de reprise informatique, et présentent donc des failles en matière de résilience aux attaques.

Optimiser la sécurité des systèmes d’information industriels

Il s’agit de la grande problématique du secteur de l’industrie. En effet, la sécurité des systèmes industriels affiche une maturité globale de 34,1 %. L’étude souligne ainsi que des efforts sont fournis pour le déploiement d’une organisation dédiée à la cybersécurité (adoptée par 50 % des entreprises) et pour l’utilisation de pare-feu visant à séparer les réseaux d’entreprise des réseaux industriels. Cependant, 50 % des organisations ne contrôlent pas les exigences relatives à la sécurité des tiers.

Lutter contre les mauvaises pratiques en matière de sécurité cloud

Selon le cabinet de conseil, plusieurs défis liés à la sécurité des applications et des données attendent les entreprises. L’étude souligne ainsi les failles de sécurité propres au cloud. Parmi les mauvaises pratiques en place, on peut noter l’accès d’administration à un système cloud par le biais d’un simple login et mot de passe, pour 42 % des entreprises.

En bref, le domaine de la cybersécurité est aujourd’hui plus complexe à définir et à réguler qu’il y a une vingtaine d’années. Matériel informatique, logiciels, cloud, réseaux… La numérisation offre aux hackers de multiples portes d’entrée. Malgré les efforts réalisés par les entreprises, il apparaît qu’il reste encore beaucoup de chemin à parcourir, selon ce baromètre. Les données et les résultats obtenus sont nuancés, et dévoilent une volonté des entreprises de se protéger et d’investir davantage en la matière. Un premier pas, même si l’évangélisation des utilisateurs finaux reste nécessaire pour les convaincre de mieux protéger leur patrimoine informatique.