Gérome Billois Directeur de la practice Cybersécurité, Wavestone a présenté la nouvelle édition de son Cyber benchmark. La première constatation est que la note globale de maturité du marché est de 49/100 concernant la conformité aux réglementations. Dans ce classement, les champions se trouvent dans le secteur bancaire et les mauvais élèves dans le secteur public.

Concernant les Budgets dédiés à la cybersécurité ils sont en moyenne de 5,6% du budget IT. Par contre l’effort d’investissement se trouve plutôt dans le secteur public avec 6,6%. La finance est à 5,4% ce chiffre s’explique par l’atteinte d’un bon niveau de sécurisation, l’industrie est à 6% de même pour le luxe et le retail. L’énergie est à 5,5% et enfin les services sont à 4,5%. Aujourd’hui, on est en phase de justification des investissements. Au niveau des montants investit dans la banque finance, ils ont été sur 3 ans compris entre 200 et 900 M€.
Au niveau des effectifs on note une légère amélioration puisque l’on est passé d’un expert cyber pour 1300 employés à un pour 1285.

Autre donnée de l’enquête, le nombre d’organisations en situation critique est passé de 30% en 2022 à 23% en 2023. En effet, la plupart des grands groupes ont investi pour lutter contre les ransomwares.

Concernant l’évaluation des risques entre identifier, protéger, détecter et répondre la maturité reste autour de 50% par contre la reconstruction reste le parent pauvre avec un niveau de maturité à 43% même si on note une augmentation de 3%.

Au niveau de la maturité en fonction des grands sujets de la cyber, on note des réussites au niveau de la gouvernance, des endpoint jusqu’à la réaction. En progression on trouve l’IAM, la détection par contre les points en difficulté sont le Cloud, la sécurité des applications, la résilience la sécurité des données et la sécurises applications, et enfin la sécurité des IOT.
Concernant le Cloud on avance sur la sécurisation avec +4 points. Le fait de raccorder le Cloud au SOC est en augmentation avec 62% des entreprises qui l’on fait. 70% des entreprises vérifient la conformité par contre uniquement 11% des organisations corrigent automatiquement les problèmes de conformité du Cloud.

La sécurité des tiers restent un sujet épineux

La sécurité des tiers restent en difficulté même si 63% incluent une clause de sécurité dans les contrats, par contre 37% auditent régulièrement leurs fournisseurs. 13% des entreprises testent leur plan d’´intervention et de reprise avec leur partenaire et leurs fournisseurs.

Le second parent pauvre est la sécurité des systèmes industriels même si des efforts sont faits. En effet, 71% des organisations ont aujourd’hui un RSSI industriel et 86% des organisations utilisent un pare-feu pour séparer les réseaux d’entente des réseaux industriels. 61% des organisations ont mis en place une zone démilitarisée. 58% des organisations utilisent des outils dédiés pour administrer les ICS à distance.

Le Zéro Trust doit devenir une stratégie majeure en déploiement

28% ont commencé à déployer du multi facteur avec facteurs conditionnels
24% des entreprises ont commencé à déployer la micro-segmentation.

14% ont déployé un zéro Trust networks Access.
13% des organisations ont déployé une automatisation et une orchestration

Souvent les entreprises qui sont soumises à des risques géopolitiques sont amenées à déployer la micro segmentation.

Concernant la cyber résilience on a un marché à deux vitesses entre la finance et le reste des autres secteurs. En effet, 70% de la finance à industrialiser les pratiques de traitement des risques. De même pour le suivi des fournisseurs 60% des entreprises ont investi dans ce domaine, quant à la continuité d’activité les plans sont testés tous les deux ans alors que dans les autres secteurs on est à peine à 9%.

Enfin, le cycle stratégique pour 2026 montre les axes suivants le zéro Trust, le recrutement l’efficacité opérationnelle et la cyber en positionnement différenciant donc en tant qu’avantage compétitif avec d’un côté la résilience et de l’autre la confiance clients dans les produits par exemple dans le secteur de l’automobile.