26 mars : Les 100 plus grandes entreprises françaises exposées à des failles de sécurité liées à la chaîne d’approvisionnement

mars 2024 par SecurityScorecard

Cette nouvelle étude met en lumière la corrélation directe entre le niveau de cybersécurité d’une entreprise et les mesures de sécurité mises en place par ses fournisseurs, jusqu’au plus petit. Les chasseurs de menaces et les data scientists de SecurityScorecard ont utilisé le plus grand ensemble de données au monde sur les risques et les menaces pour analyser les violations de données de la chaîne d’approvisionnement des 100 plus grandes entreprises françaises. Étant donné que les failles de sécurité liées aux tiers, telles que MOVEit, constituent la majorité des notifications de violation de données, il est essentiel d’avoir une vue compréhensive des organisations de la chaîne d’approvisionnement et des dépendances critiques associées pour réduire les risques.

Principales conclusions :

• Risque cyber de la chaîne d’approvisionnement : 98 % ont une entité concernée par une violation de données dans leur écosystème de tiers

La France présente le taux de violations de données de fournisseurs tiers et de quatrième partie le plus élevé par rapport au Royaume-Uni, à l’Allemagne et à l’Italie. De plus, 100 % des plus grandes entreprises françaises ont un fournisseur de quatrième partie ayant signalé une violation de données au cours des 12 derniers mois. L’analyse SecurityScorecard révèle que la majorité des attaques de la chaîne d’approvisionnement étaient liées à un seul et même acteur malveillant, le groupe de ransomware Clop (alias Cl0p).

• Capitalisation boursière et cybersécurité : seules 14 % des entreprises dont la capitalisation boursière dépasse 100 milliards de dollars ont une note C ou inférieure

Les entreprises à forte capitalisation boursière font preuve d’un niveau de cybersécurité plus solide. Par exemple, seulement 29 % des entreprises à capitalisation boursière de 50 à 100 milliards de dollars ont obtenu une note C ou inférieure.

• Spécificités par secteur : 79 % des sociétés du secteur des services affichent une note C ou inférieure, contre 29 % dans le secteur de l’énergie.

Les nuances sectorielles jouent un rôle clé dans l’évolution du paysage des menaces. 50 % des entreprises de santé en France ont une note C ou inférieure. Pour les sociétés financières, ce chiffre est 33 %. Ces deux secteurs entretiennent des relations avec des tiers plus nombreux, plus diversifiés et plus spécialisés, ouvrant la porte à davantage de failles potentielles. Pour faire simple : Leur risque cyber lié aux tiers est plus élevé car leur écosystème est plus vaste.

• Entreprises à haut risque : 40 % des entreprises ont une note C ou inférieure

Une organisation avec une note C a un risque de faille 5,4 fois plus élevé par rapport à une organisation avec une note A. Les entreprises jugées à haut risque devraient se concentrer sur l’amélioration de la sécurité des applications et des réseaux, avec une attention particulière à la santé du DNS, à la sécurité des endpoints et à la cadence des correctifs.

• Faible résilience en matière de cybersécurité : seules 60 % des 100 plus grandes entreprises françaises ont une note A ou B.

Seules 21 % des entreprises ont une note de cybersécurité A et n’ont signalé aucune violation de données au cours des 12 derniers mois. Ce groupe est principalement composé d’entreprises des secteurs financiers et de l’énergie. La résilience en matière de cybersécurité est inextricablement liée à la confiance. La capacité des organisations à contrer et répondre aux cyberattaques a une influence directe sur la confiance économique.

Une nouvelle ère de gestion des risques cyber

Tout comme les notations de crédit fournissent une mesure claire et standardisée de la crédibilité financière, les notations des risques cyber peuvent offrir une référence similaire pour la résilience en matière de cybersécurité. La disponibilité de données objectives sur la cybersécurité offre aux chefs d’entreprise et aux dirigeants gouvernementaux un nouveau langage pour la gestion des risques cyber.

Nadji Raib, directeur Europe du Sud et Moyen-Orient, a déclaré :

“Il est clair que les entreprises étudiées dans ce rapport auraient intérêt à intégrer la gestion des risques liés aux tiers non seulement à leur programme de sécurité, mais aussi à leur processus de sélection des fournisseurs.

La France est déjà en tête de la cybersécurité en Europe, mais ces entreprises et organisations doivent dès maintenant intensifier leur effort si elles veulent être prêtes pour l’entrée en vigueur du règlement sur la résilience opérationnelle numérique (DORA) en janvier 2025.

La plateforme de SecurityScorecard facilite et renforce cet effort, en attribuant des notes permettant d’évaluer les fournisseurs potentiels, mais aussi de surveiller et responsabiliser les fournisseurs existants.”

Méthodologie

Notre analyse des 100 plus grandes entreprises françaises par capitalisation boursière montre des axes d’amélioration. Ce rapport a examiné des entreprises dans les secteurs suivants : énergie, santé, finance, fabrication, transports, services publics et technologie. Le rapport couvre la période du 13 mars 2023 au 13 mars 2024.

Une évaluation des risques en temps réel est indispensable face à un paysage de menaces dynamique. SecurityScorecard rassemble des quantités importantes de données non intrusives sur les performances en matière de cybersécurité des entreprises du monde entier. À l’aide de ces données, SecurityScorecard calcule un score global, noté de A à F, sur la base de dix facteurs prédictifs d’une faille de sécurité. La validation des scores SecurityScorecard à l’aide d’une analyse statistique démontre que les entreprises notées F sont 13,8 fois plus à risque de subir une violation de données que les entreprises notées A.