En France, comment les entreprises perçoivent-elles la cybersécurité ?

Publiée en janvier 2020, une enquête OpinionWay pour le Club des experts de la sécurité de l’Information et du numérique (Cesin) analyse la perception de la cybersécurité et de ses enjeux au sein des grandes entreprises françaises. Résultat : les entreprises se disent encore insuffisamment préparées en cas de cyberattaques malgré une prise de conscience toujours plus importante. Explications.

Avec l’essor de la digitalisation, la cybersécurité est devenue un véritable enjeu pour les entreprises françaises. Des sociétés qui ont pris conscience du problème : 60 % d’entre elles ont ainsi souscrit à une cyber-assurance et 13 % sont en cours de souscription, des chiffres en hausse constante ces trois dernières années. C’est ce que révèle la cinquième grande enquête OpinionWay pour le Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) publiée en janvier 2020. L’objectif de cette enquête ? Mettre en exergue la perception et la réalité de la cybersécurité au sein de 253 entreprises françaises.

Si l’étude traduit une prise de conscience des risques liés à la cybercriminalité par les entreprises, celles-ci n’ont pas encore pris le problème à bras le corps. En témoigne la multiplication des cyberattaques ces dernières années. En 2019, elles ont connu une augmentation de 25 %, selon une étude menée par le cabinet de conseil Accenture. Pire, seulement 39 % des entreprises affirment être suffisamment préparées en cas de cyberattaque de grande ampleur et 14 % se déclarent même “pas du tout prêtes”, précise le Cesin.

Au-delà du recours à des outils technologiques, les entreprises doivent donc mener une véritable réflexion pour se défendre d’éventuelles attaques. “Puisque les virus passent, même dans les grandes entreprises, c’est bien la preuve qu’elles sont mal protégées ou que les technologies utilisées sont inefficaces !”, souligne Alain Bouillé, président du Cesin sur le site de son association.

Un manque de budget alloué à la cybersécurité

Mais alors comment expliquer que les entreprises n’aient pas encore adopté toutes les mesures pour anticiper une éventuelle cyberattaque ? Si l’on en croit les responsables de la sécurité des systèmes d’information (RSSI), l’une des explications pourrait provenir d’un manque de budget alloué à la cybersécurité : 64 % le jugent insuffisant pour lutter contre la menace cyber. À ce titre, les entreprises n’ont pas toujours les ressources nécessaires pour développer une véritable politique de sécurité numérique. C’est particulièrement vrai pour les PME et TPE, qui sont sous-équipées.

Un déficit de compétences

L’autre défi de la cybersécurité concerne l’embauche de travailleurs spécialisés. 69 % des RSSI estiment les moyens humains alloués par l’entreprise trop faibles. Parallèlement, il existe un véritable déficit de profils en sécurité des systèmes informatiques qui empêche les entreprises d’embaucher. C’est particulièrement le cas pour les métiers de pilotage, d’organisation et de gestion des risques, suivis par les profils liés au support et à la gestion des incidents.

Quid de la sensibilisation des salariés ?

Si les moyens manquent encore en matière de cybersécurité, l’enjeu central reste l’humain. Près de la moitié des entreprises indiquent que le risque cyber le plus répandu est la négligence des salariés. Bien que sensibilisés aux enjeux de la sécurité numérique, ces derniers ont encore du mal à respecter les recommandations ;  c’est en tout cas l’avis de 74 % des RSSI. Davantage connectés, les salariés ont de plus en plus recours à des appareils personnels – un phénomène connu sous le nom de BYOD pour bring your own device –, des outils de travail collaboratifs, le Cloud et le Shadow IT (l’utilisation d’outils non approuvés par la direction des systèmes d’information). Or, cette digitalisation représente un risque de sécurité pour l’entreprise : sans le savoir, les collaborateurs multiplient les portes d’entrée pour les hackeurs.

Paradoxalement, 65 % des salariés français jugent leur entreprise relativement bien protégée et 20 % très bien protégée contre les attaques informatiques, selon un sondage mené par Opinionway pour Capgemini en 2015. Une contradiction entre perception et réalité de la menace qui risque d’entraîner un manque de vigilance des salariés dans le traitement des messages électroniques venant de l’extérieur. Rappelons que le phishing – une technique de fraude ayant pour but de récupérer des informations confidentielles en usurpant l’identité d’un tiers de confiance via un email – reste le vecteur d’attaque le plus fréquent : 79 % des entreprises en ont été victimes, selon le Cesin.

L’implication des collaborateurs semble donc vitale. À moins qu’il ne faille trouver des outils de protection toujours plus efficaces, pour que la sécurité des entreprises repose moins sur la vigilance des utilisateurs. “Aujourd’hui, la sophistication des attaques et la motivation des attaquants que nous observons rendent plus difficiles les messages de sensibilisation. Il va être de plus en plus difficile de distinguer le vrai du faux dans nos boîtes mails.” prévient Alain Bouillé.