Baromètre CESIN : La cybersécurité marche quand on s’en occupe !

Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) publie chaque année un Baromètre de la Cybersécurité des Entreprises. Cet instantané de la perception des enjeux de cybersécurité parmi les membres de l’association professionnelle des CISO est, selon Fabrice Bru, nouveau président du CESIN, « un outil stratégique pour éclairer les tendances et les défis en matière de cybersécurité ». Par nature, le CESIN n’intègre que des organisations publiques ou privées ayant une certaine maturité en matière de cybersécurité et, au minimum, disposant d’un responsable dédié, ce qui n’est pas exclusif des grands comptes. Cette dixième édition montre une nouvelle fois que la situation sur le front des cyber-menaces s’améliore. « Quand on s’occupe de la cybersécurité, cela marche » a pointé Alain Bouillé, délégué général du CESIN. Les solutions disponibles sur le marché satisfont d’ailleurs fortement les CISO (84 %, 90 % dans les grandes organisations). Le constat relativement optimiste du CESIN n’est donc pas incompatible avec le tableau plus sombre dressé récemment par le Clusif, la nature de ce qui est étudié étant différente.

Le CESIN s’intéresse aux cyberattaques réussies, c’est à dire ayant eu un impact significatif sur le fonctionnement des entreprises (y compris via une fuite de données). Comme le Clusif l’a pointé, la menace s’accroît. Mais la réussite des cyberattaques, elle, décroît. Comme l’a pointé Alain Bouillé, les Jeux Olympiques et Paralympiques de Paris 2024 ont été une grande réussite en matière de cybersécurité et la meilleure démonstration que la cybersécurité peut être efficace quand on s’en donne les moyens. Avec un risque : si le sentiment d’urgence vis-à-vis des cybermenaces diminue, les budgets de cybersécurité pourraient être remis en cause, ce qui mettrait de nouveau les entreprises en danger. L’atelier d’ouverture du prochain Hacktiv’Summit, les 11-12 février 2025 à Deauville, portera d’ailleurs sur la manière de défendre son budget. Pour l’heure, la part des organisations consacrant au moins 5 % du budget IT en cybersécurité progresse (48 %).

Une situation qui s’améliore mais demeure tendue

47 % des entreprises ayant répondu ont connu au moins une cyberattaque réussie. Ce chiffre continue de diminuer, même s’il reste élevé : 49 % en 2023, 65 % en 2019. Il est regrettable que seulement 62 % des entreprises victimes (29 % de l’échantillon complet) portent plainte, limitant de fait la capacité des forces de l’ordre à démanteler les réseaux de cybercriminels. Le nombre total d’attaques est resté stable depuis un an pour 69 % des répondants, 19 % jugeant que la pression s’est accrue (23 % l’an passé, 25 % au sein des ETI) et 12 % qu’elle a baissé.

En moyenne, il y a quatre vecteurs d’attaque constatés par chaque entreprise. En tête, pas de surprise, on trouve toujours le phishing constaté par 60 % des entreprises. Suivent l’exploitation d’une faille (47 %) et l’attaque DDoS (41 %). Bien qu’il ne s’agisse pas réellement d’un incident de cybersécurité, l’arnaque au président classique est mentionnée dans le classement avec un taux de 36 %. L’arnaque appuyée par deepfake, qui utilise donc l’IA, fait son entrée dans le classement avec un taux de 9 %. En queue de classement et également nouvel entrant, l’exploitation d’une IA sans précision est à 2 %. Pour Alain Bouillé, « l’arnaque au président progresse en sophistication pour accroître sa crédibilité et, au fil du temps, les procédures mises en place se sont durcies. Le recours à l’IAG et au deepfake poursuit le mouvement et, en plus, permet une certaine industrialisation (donc davantage de personnes visées) et le recours à des canaux de l’urgence (messagerie instantanée…). »

Des conséquences en nette évolution

Les conséquences d’une cyberattaque réussie sont multiples. 42 % des entreprises (+11 % par rapport à l’édition précédente) constatent ainsi un vol de données. Suivent dans le classement le déni de service (36 %) et l’usurpation d’identité (34 %). Les données chiffrées par un ransomware sont en chute libre avec un taux de 9 % (-9 % par rapport à l’année précédente). « Le chiffrement destructif des données n’est plus payant et les entreprises réagissent davantage pour lutter contre une divulgation » relève Alain Bouillé. Sans doute les travaux de renforcement des sauvegardes ont-t-il fini par être efficaces. Dans 65 % des attaques, il y a eu un impact business : perturbation de la production (23 %), atteinte à l’image (16 %)…

Côté causes des cyberattaques, le shadow IT chute fortement (seulement 23 % des entreprises) mais la shadow IA n’est pas mesurée pour l’heure. De la même façon, la négligence de configuration baisse de 11 points et n’est plus qu’à 22 % mais le défaut de configuration est à 33 %, en deuxième position derrière la cyberattaque opportuniste (38 %) et devant les vulnérabilités résiduelles (29 %). Le défaut de gestion des comptes et permissions est en quatrième position avec un taux de 28 %. Ce sujet sera abordé sur un atelier du prochain Hacktiv’Summit, les 11-12 février 2025 à Deauville. Dans 19 % des cas, l’organisation est victime collatérale d’une attaque sur un partenaire et, dans 18 %, l’entreprise a été victime d’une fuite de données dont la gestion avait été confiée à un tiers (SaaS…). Pour se protéger des menaces liées aux tiers, 85 % des entreprises se reposent sur des clauses contractuelles, 74 % sur des questionnaires de sécurité. Les audits, souvent compliqués à mettre en œuvre, sont mis en œuvre par 41 % des répondants.