C’est le mercredi 18 janvier 2017 que j’ai eu le privilège de rencontrer en petit comité Alain Bouillé, Président du CESIN et Responsable Sécurité des Systèmes d’Information à la Caisse des Dépôts, ainsi que Olivier Ligneul, vice-président du CESIN et Responsable Sécurité des Systèmes d’Information du Groupe EDF.
Quel était l’objectif de la rencontre avec le CESIN ? Mieux cerner la perception de la cyber-sécurité et de ses enjeux au sein des grandes entreprises françaises grâce à l’édition du second baromètre annuel du CESIN réalisé par Opinionway du 10 novembre au 5 décembre 2016 – échantillon de 141 Responsables Sécurité des Systèmes d’Information (RSSI) membres du CESIN sur une totalité de 280 membres du CESIN interrogés.
Le CESIN, qu’est-ce ? Le Club des Experts de la sécurité de l’Information et du Numérique est une association loi 1901 créée en 2012 rassemblant 280 membres issus de tous secteurs d’activité publics et privés: des membres actifs, responsables de la sécurité de l’information dans leur organisation, des membres associés, représentants de diverses autorités en charge de Sécurité au plan national, des juristes experts de la sécurité IT. Le CESIN est un lieu d’échange de connaissance et d’expériences (ateliers, colloques, congrès) entre ses membres et force de proposition sur des textes règlementaires, guides et autres référentiel.
Quelles sont les thématiques du baromètre 2017 du CESIN ?
1- L’évolution des cyber-attaques
Des cyber-attaques en hausse cette année puisque 80% des entreprises françaises ont constaté au moins une cyber-attaque. 34% ont constaté entre 1 et 3 cyber-attaques, 15% entre 4 et 9 cyber-attaques, 9% entre 10 et 14 cyber-attaques… et 21% 15 ou plus cyber-attaques ! En un an, le nombre d’attaques a augmenté de 46%. Soit près d’une entreprise sur deux.Parmi les cyber-attaques constatées, le ransomware (demande de rançon) est la plus subie et de façon plus marquée encore qu’il y a un an.
Le TOP 3 : 80% (+19% vs. 01/2016) de ransomware, 40% d’attaque par déni de service, 36% d’attaque virale générale. Loin derrière, le vol ou la fuite d’informations représente 24%, et l’attaque ciblée 23% (-12% vs. 01/2016).
Au delà des cyber-attaques, un grand nombre d’entreprises est confronté à des risques, social, engineering et vulnérabilités résiduelles en particulier. 89% d’entre elles ont connu au moins un élément.
2- L’efficacité des solutions techniques
Les entreprises s’équipent de nombreuses solutions pour faire face aux cyber-risques.
Les VPN (Virtual Private Network, réseau privé virtuel en anglais, une connexion inter-réseau permettant de relier deux réseaux locaux différents) (87%), filtrage web (84%) et antiSPAM (79%) sont en tête.
D’autres sont aussi utilisées comme ProxyURL (64%), SSO (62%)…. la cryptographie (50%).
11 solutions en moyenne sont utilisées.
Parmi les solutions de protection, la cyber-assurance est encore peu utilisée mais en nette progression. 26% des entreprises ont souscrit à une cyber-assurance (+7 vs. 01/2016). Selon Alain Bouillé, « le marché de la cyber-assurance va exploser dans les prochaines années ».
Certaines solutions techniques sont jugées plus efficaces que d’autres : pare-feu (91%) et VPN (89%). En troisième position, le filtrage web avec 78%. Selon Olivier Ligneul « il est essentiel que les patrons d’entreprises sécurisent leurs boîtes mails ».
Intéressant : 31% des entreprises interrogées considèrent que les solutions techniques restent inadaptées à leurs besoins et 40% d’entre elles inadaptées aux types et à la fréquence actuelle des cyber-attaques.
3- Les perspectives pour l’avenir avec les enjeux de la transformation numérique
95% des membres du CESIN considèrent que la transformation numérique est un enjeu stratégique. Et 89% d’entre elles pensent qu’elle a un impact sur la gestion des données sensibles de l’entreprise.
Engagées dans la transformation numérique, 82% des entreprises stockent leurs données dans un cloud. 43% dans des clouds publics, 20% dans des clouds hybrides, seulement 19% dans des clouds privés.
A noter : le cloud expose les entreprises à de nombreux risques, notamment en raison du moindre contrôle des données. Ainsi 91% des entreprises estiment quelle sécurisation des données stockées dans le cloud requiert des outils ou dispositifs spécifiques.
La transformation numérique induit des risques liés aux usages des salariés de l’entreprise – le BYOD (Bring Your Own Device, ou Apportez votre appareil personnel incarne bien la tendance selon laquelle les frontières entre sphère privée et sphère professionnelle sont de plus en plus floues) en particulier (91% des réponses).
La sensibilisation des salariés aux cyber-risques progresse, mais reste largement perfectible. 65% pensent que les salariés sont sensibilisés aux cyber-risques (+6% vs. 01/2016). Selon Olivier Ligneul « l’utilisateur doit-être le dernier rempart aux solutions techniques contre les cyber-attaques ».
A noter : 57% des entreprises ont mis en place des procédures afin de tester l’application des recommandations par les salariés.
Enfin, les objets connectés inquiètent fortement les entreprises à hauteur de 96%. Alain Bouillé ajoute « Dans les prochaines années, les cyber-attaques vont s’accélérer avec les objets connectés ».
4- La gouvernance cyber dans les entreprises
Les entreprises ont une confiance très relative en la capacité des solutions à faire face aux cyber-risques. Ce qui génère chez elles le souhait d’augmenter dans 44% des cas les effectifs alloués à la protection contre les cyber-risques. Dans 55% des cas d’augmenter les budgets alloués à la protection contre les cyber-risques. Et 84% des cas d’acquérir de nouvelles solutions techniques destinées à la protection contre les cyber-risques.
Demain
L’enjeu sera moins technique, il s’agira plutôt de revoir la gouvernance de la cyber-sécurité pour mieux agir.
TOP 3 des enjeux pour les entreprises: 68% souhaitent placer la gouvernance de la cyber-sécurité au bon niveau, 63% (-6% vs 01/2016) mieux former et sensibiliser les usagers aux questions de cyber-sécurité, 40% (-9% vs. 01/2016) adapter les solutions à la transformation numérique.
Plus d’informations sur le CESIN – Opinionway et sur le FIC (Forum International de la Cyber-sécurité) qui se déroulera le mardi 24 janvier 2017 à Lille.
Point de vue personnel :
Les solutions techniques achetées par les entreprises françaises en vue de se protéger des cyber-attaques sont des solutions fournies par les Etats-Unis, la Russie, Israel principalement. Je m’interroge de ce fait sur la réelle protection de nos données. Nous nous protégeons de pays qui nous fournissent leurs propres solutions… étonnant comme stratégie.
Je me permets de faire appel au gouvernement français, quand proposerez-vous des solutions techniques françaises efficaces qui nous protègent véritablement ? Plutôt que de subir les solutions techniques de pays tiers, Google et Microsoft. Suggestion : Peut-être pourrions-nous nous tourner vers l’Allemagne qui installe ses propres solutions techniques et en prendre exemple.