Alors que les Assises de la Sécurité ouvrent leurs portes ce mercredi 11 octobre, pour trois jours de réflexion sur l’état de la cybersécurité en France, la société de cybersécurité Proofpointf ait le point sur le niveau de préparation des organisations face à l’avancée de la menace.
Cette année encore, les résultats montrent que la menace cyber reste omniprésente en France et de plus en plus sophistiquée. Si les organisations en ont bien conscience, augmentant leur budget et leurs compétences en interne pour y faire face, la grande majorité d’entre elles ne se sont pour autant, pas suffisamment préparées pour l’affronter réellement, estime Proofpoint.
En France, 80 % des membres de conseils d’administration interrogés estiment que leur organisation court un risque de cyberattaque d’envergure, contre 78 % en 2022 – 36 % d’entre eux jugent même ce risque très probable. Et si 92 % d’entre eux pensent que leur budget lié à la cybersécurité augmentera au cours des 12 prochains mois, ces efforts ne traduisent pas une meilleure préparation : 46 % estiment toujours que leur organisation n’est pas préparée à faire face à une cyber-attaque — un sentiment partagé par 78 % des RSSI interrogés dans le rapport Voice of the CISO 2023.
« Le nouvel alignement entre les membres des conseils d’administration et leurs RSSI, sur le risque cyber et sur la préparation, est un signe positif qui démontre que les deux parties travaillent de plus en plus étroitement à faire progresser la posture de sécurité de l’entreprise », a déclaré Ryan Kalember, vice-président exécutif de la stratégie de cybersécurité chez Proofpoint.
Les enjeux de cybersécurité ont de fait, bien pris leur place à l’ordre du jour des conseils d’administration et 56 % des administrateurs français déclarent interagir régulièrement avec leurs responsables de la sécurité (53 % au niveau mondial). Bien qu’il s’agisse d’une augmentation par rapport à l’année dernière (51 % en France contre 47 % dans le monde), c’est toujours près de la moitié des conseils d’administration qui n’entretient pas de relations solides avec leurs RSSI.
Par ailleurs, administrateurs et RSSI n’ont pas la même lecture du déroulé de la chaîne d’attaque.
Les premiers classent les logiciels malveillants (48 %), le smishing/vishing (40 %) et la fraude par courriel/BEC (38 %) parmi leurs principales préoccupations, alors que les RSSI mettent quasiment au même niveau le risque de fraude par courriel/BEC (35 %), les menaces internes (33 %) et les attaques sur la chaîne d’approvisionnement (32 %).
« La chaîne d’approvisionnement est un vecteur d’attaque en pleine croissance et pour les entreprises, il est encore plus difficile de s’en protéger car les menaces provenant de partenaires externes sont quasiment indétectables. Si les entreprises ont besoin de solutions adaptées pour s’en protéger, la collaboration entre RSSI et conseils d’administration doit plus que jamais être mise en avant pour garantir la synergie des efforts en matière de protection cyber. La meilleure manière d’éviter la catastrophe : des responsables qui partagent une vision de la cybersécurité, et qui forment leurs collaborateurs régulièrement. » précise Loïc Guézo, Directeur de la stratégie Cybersécurité SEMEA chez Proofpoint.
Un décalage qui pourrait être inquiétant s’il persiste
Alors que la pause estivale en France était l’occasion d’un grand nombre d’attaques ciblant les fournisseurs de grandes entreprises (voir le cas Majorel pour Pôle Emploi), les menaces sur la chaîne d’approvisionnement ne semblent pas encore être une priorité pour les conseils d’administration.
Pour Loïc Guézo « cette édition des Assises vise à prendre de la hauteur concernant la cybersécurité. Prendre de la hauteur, c’est se poser la question des priorités en termes de défenses cyber : quel est le principal risque pour mon organisation ? La réponse à cette question est différente pour chacun et ne peut se trouver qu’avec des échanges réguliers entre toutes les parties prenantes : conseils d’administration, RSSI, DSI, fournisseurs de services… Nous pouvons voir que cette année, les échanges se sont amplifiés, ce qui est une bonne nouvelle. Cependant, les préoccupations divergent encore et la mise en place d’une politique commune en cybersécurité est la première étape pour protéger au mieux les organisations ».