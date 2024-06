Maturité cyber des grands groupes : une progression qui ralentit malgré de nouveaux challenges

juin 2024 par Wavestone

Dans un contexte géopolitique sous tension et avec l’arrivée des Jeux Olympiques en France pour l’été 2024, les entreprises vont être confrontées à du cyber-espionnage et des cyberattaques provenant d’une multitude d’acteurs malveillants : cybercriminels, hacktivistes et même États. Dans ce contexte, quel est le niveau de sécurité des différents secteurs en France ? Quelles sont les forces et faiblesses des grands groupes en matière de cybersécurité ? Quelle différence avec les plus petites entreprises ?

• Un niveau de maturité des grands groupes (> 1 Mds $ de CA) légèrement en progrès à 53% par rapport aux standards internationaux (+1 point vs 2023)

• Les budgets cyber représentent 6,6% du budget Informatique tous secteurs confondus, dans le bas de la fourchette recommandée (entre 5 et 10%).

• 1 expert est dédié à la cybersécurité pour 1086 employés en moyenne, et de plus en plus d’entreprises ont lancé des initiatives pour assurer la rétention des talents.

• Deux domaines ont particulièrement progressé cette année : la sécurité du Cloud (+5%) portée par le progrès de la sécurité de l’administration de ces plateformes et la sécurité des données (+4%), intrinsèquement liée aux enjeux croissants de l’intelligence artificielle.

• Certains domaines clés de la cybersécurité restent en souffrance, en particulier la sécurité des tiers (partenaires, fournisseurs… de plus en plus interconnectés et sources d’attaques), à 48,9% de maturité, et celle des systèmes industriels, à 39,9%.

• Si l’on compare les grands groupes aux plus petites structures (< 1 Mds $ de CA) : les bases sont maîtrisées pour la majorité des premiers, au contraire des seconds dont 54% restent fragiles aux risques d’attaque par ransomware.

• Les Jeux Olympiques en France vont exposer les Grands Groupes français à des attaques par déni de service (39% s’en prémunissent suffisamment) et de défacement de site web (47% s’en prémunissent suffisamment)

• La directive NIS 2 va fortement influencer les stratégies cybersécurité, en s’appliquant à un nombre croissant d’entreprises et sur l’ensemble de leur système et va nécessiter des investissements importants pour combler les retards de 20% à 40% face aux exigences attendues.

Pour répondre à ces questions, le cabinet de conseil Wavestone a réalisé un benchmark détaillé, basé sur une évaluation terrain de près de 200 mesures de sécurité. Depuis 5 ans, les données de plus de 150 organisations, représentant près de 7 millions d’utilisateurs, ont été consolidées et analysées. Les résultats illustrent le long chemin restant à parcourir pour l’ensemble des entreprises et notamment les grands groupes (> 1Mds $ CA – plus de 100 structures dans la base), mais aussi une progression sensible, puisque ces derniers obtiennent un score global de maturité de 53% contre 52% l’an dernier, le score étant relatif aux exigences des normes internationales NIST CSF & ISO 27001/2.

Avec une hausse de 1% : les progrès continuent mais sur un rythme plus lent

Le niveau de maturité général est en hausse atteignant 53%, l’étude révèle néanmoins une hétérogénéité en fonction des secteurs. Celui de la Finance tire son épingle du jeu avec un score de 60%, laissant toutefois apparaître de vraies différences de maturité entre les mastodontes que sont les grandes banques et les assureurs qui sont en moyenne moins matures. Les acteurs du Luxe et de la Grande Distribution suivent, largement portés par ces premiers et leurs importants moyens déployés, avec une moyenne à 52,7%. Vient ensuite le secteur de l’Industrie avec une maturité à 51,3% montrant les efforts effectués pour rattraper leur retard en menant leur transformation numérique. Avec un score de 50,9%, le secteur de l’Energie reste légèrement au-dessus de la moyenne. Celui des Services (50%) ferme la marche.

L’impact positif de la réglementation est également visible : les entreprises soumises aux réglementations sur la sécurité des infrastructures critiques (NIS/LPM) se démarquent et sont plus matures (57,5% VS 51,7%).

Face aux risques d’attaque les plus fréquents (ransomware), les grands groupes maîtrisent les basiques mais ont encore une marge de progrès indéniable ; les plus petites structures sont à risques.

Wavestone gère de nombreuses cyberattaques pour le compte de ses clients grâce à son équipe de réponse à incident, le CERT-Wavestone. Les principales failles utilisées par les cybercriminels ont été identifiées et une analyse particulière de la maturité a été réalisée. De cette analyse ressort que :

• Parmi les petites et moyennes entreprises, plus de la moitié (54%) du panel sont jugées en situation critique car ne maîtrisant pas les basiques requis pour résister à ce type d’attaques. Ce phénomène touche surtout les secteurs des services même si certains acteurs financiers ou industriels ne sont pas à l’abri.

• Les grandes groupes (> 1 Mds € de CA), du fait de leur niveau de maturité de 56.9%, ne sont plus forcément des cibles faciles pour les cybercriminels.

En France, un contexte particulier de menace lié aux Jeux Olympiques et Paralympiques

Dans le contexte des Jeux Olympiques et Paralympiques, les structures les plus critiques pour le succès des jeux ont fait l’objet d’un encadrement spécifique de l’état et des entités organisatrices. Mais il ne faut pas négliger l’ensemble des autres entreprises françaises, en particulier celles dont la marque est fortement associée à notre pays, qui seront certainement aussi la cible des attaques usuelles des hacktivistes qui viseront à entacher l’image du pays et créer du “bruit cyber” autour des jeux.

Et pour ces structures, le risque est important : seuls 39% des grands groupes ont des solutions pour se protéger des attaques par déni de service (saturation des sites internet entraînant leur non-fonctionnement) sur l’ensemble de leurs sites (27% pour les plus petites entreprises). 47% ont des solutions de protection avancées sur leurs applications exposées sur Internet pour se prémunir du défacement, une modification non contrôlée des pages des sites web, (27% pour les plus petites entreprises).

Malgré le manque de ressources humaines, les filières cybersécurité continuent de grossir et rencontrent de nouvelles problématiques…

Le recrutement en cybersécurité présente des challenges particuliers. D’après l’ISC2 en 2023 : 4 millions de postes dans le monde ne sont pas pourvus par manque de candidats, seulement 25% des effectifs sont des femmes, la majorité des professionnels (92%) disent avoir un manque de compétences dans leur organisation... Pour faire face à ces défis, les entreprises misent sur le développement individuel via des initiatives comme la mise en place d’un catalogue de formations, la construction de parcours de carrière cyber, ou encore, la définition de processus de mobilité clairs.

En ce qui concerne les effectifs dans les organisations évaluées, il y a environ 1 personne dédiée à la cybersécurité pour 1100 employés. Une moyenne qui masque des résultats très disparates. Le secteur financier par exemple commence à attendre des seuils intéressants (1/267 voire beaucoup moins pour les plus structures les plus importantes) mais ce ratio est encore trop faible pour faire face aux enjeux actuels, notamment sur certains secteurs comme l’industrie.

… alors que les investissements financiers sont surveillés de près par les directions générales

Sur le budget informatique global des entreprises, 6,6% est dédié à la sécurité. Un nombre qui peut paraître faible à première vue, mais qui augmente significativement en cas d’attaque cyber pour avoisiner les 15%.

D’un point de vue sectoriel, ceux qui investissent le plus sont la Finance (7,8%), assez logiquement dans un contexte de mise en conformité avec la réglementation DORA.

Gérôme BILLOIS, Associé en charge de l’activité cybersécurité de Wavestone, ajoute d’ailleurs : « On observe de nombreuses directions générales demander plus avec des moyens constants, forçant les équipes cybersécurité à rationaliser leurs activités (e-g avec du near/off-shoring) ou à arbitrer avec leurs risques ».

Cloud et intelligence artificielle : de vrais progrès pour ces thématiques cruciales pour le futur

• La sécurité du Cloud a enregistré une des plus fortes croissances de maturité parmi les Grands Groupes cette année, avec une augmentation de plus de 5%, même si la maturité globale reste parmi les moins matures du CyberBenchmark.

o Cette croissance est principalement attribuée à l’essor de solutions spécifiques comme les CNAPP (Cloud-Native Application Protection Platform), qui centralisent les outils nécessaires pour sécuriser les applications natives du cloud, ou encore l’adoption croissante des solutions CSPM (Cloud Security Posture Management) permettant de détecter et corriger les erreurs de configuration et les vulnérabilités.

o Cependant 6% des grands groupes peuvent toujours accéder à leur console avec un simple identifiant et mot de passe, soulignant l’urgence de passer à l’authentification multifacteur ou à l’utilisation d’un bastion, une pratique déjà adoptée par 65% des groupes.

• La protection des données a connu un important progrès en 2024, dans un contexte où l’Intelligence Artificielle agite le milieu de la cybersécurité :

o 39% des grands groupes sont capables d’entraîner leurs modèles d’IA de manière sécurisée, grâce à leur classification et désensibilisation des données

o 49% des grands groupes sont prêts à utiliser l’IA pour faciliter l’accès aux données tout en conservant leur confidentialité grâce à l’utilisation d’outils leur permettant d’identifier, inventorier et classifier les données.

o Près de 50% de nos clients sont en train de lancer ou ont déjà lancé des projets pour sécuriser leurs solutions d’IA générative

Certains leviers d’attaques restent fortement utilisés par les cybercriminels et les entreprises rencontrent des difficultés à progresser sur les sujets concernés

• La gestion des fournisseurs, qui sont parfois des milliers voire des dizaines de milliers, reste un défi dans un contexte où une grande partie des attaques surviennent par ce canal :

o 67% des grands groupes ont mis en place des clauses de sécurité pour encadrer leurs relations avec les tiers, mais seulement 38% de ceux-ci les auditent régulièrement.

o Seulement 16% des grands groupes testent leur plan d’intervention et de reprise avec leurs tiers sur tous les périmètres critiques

o La difficulté principale des grands groupes aujourd’hui est la mise en place d’un modèle opérationnel efficace pour gérer les fournisseurs (plusieurs dizaines voire centaine de milliers), composé d’effectifs dédiés, d’une relation efficace avec les achats et les métiers, et d’outils puissants permettant d’inventorier et suivre l’ensemble de ces fournisseurs

• Dans le secteur de l’industrie, la plus grande problématique reste la sécurité des systèmes de contrôle industriels (39.9% de maturité). Des systèmes historiques ont été conçus sans sécurité par défaut et s’ouvrent désormais du fait de la transformation numérique. Alors que les efforts sur les travaux d’isolation continuent (+4% en 2024), la cyber résilience reste un challenge : seulement 36% des grands groupes ont des sauvegardes sécurisées de ces environnements. En outre, un écart croissant est observé entre les acteurs les plus régulés (énergie, pharmaceutique, défense…) et les autres (construction, textile, alimentaire…) : 50% de maturité moyenne contre 37%. Une tendance qui devrait diminuer avec l’arrivée de la Directive NIS 2.

Dans un futur proche qui s’annonce résolument réglementaire, la directive NIS 2 va fortement influer les stratégies de sécurisation pour les 5 années à venir

• Publiée à l’échelle européenne le 27 décembre 2022, la Directive NIS 2 élargit considérablement le périmètre des systèmes d’information couverts et doit être transposée en droit national d’ici octobre 2024.

o Couverture étendue : Contrairement à la directive NIS initiale, qui se concentrait sur les Systèmes d’Information Essentiels (SIE), la NIS 2 s’applique désormais à presque tous les systèmes d’information d’une organisation.

o Critères d’application : Toute organisation de plus de 50 employés ou avec un chiffre d’affaires ou un bilan annuel supérieur à 10M€ dans des secteurs essentiels ou importants est concernée.

o 10 objectifs principaux : La directive fixe 10 objectifs en matière de cybersécurité que chaque Etat de l’Union européenne doit prendre en compte dans sa transposition. Parmi ces 10 objectifs on retrouve : la cyberhygiène/sensibilisation, la gestion des incidents, les audits, la continuité des activités ou la gestion de crise.

• Où en sont les grands groupes à quelques mois de l’arrivée de la Directive ? Si on s’intéresse à certains des sujets traités par la NIS 2, on peut observer des différences importantes entre les grands groupes et les plus petites entreprises :

o Politique de sécurité (PSSI) : Les grands groupes atteignent une maturité de 80% contre 52% pour les petites entreprises.

o Continuité d’activité et gestion de crise : La maturité des grands groupes est de 49% contre 36% pour les petites entreprises

o Audits : Les grands groupes montrent une maturité de 72% contre 42% pour les petites entreprises.

o Sensibilisation et formation : Les grands groupes ont une maturité de 56% contre 31% pour les petites entreprises

o Réponse à incident : les grands groupes sont à 57% de maturité, tandis que les petites entreprises sont à 41% de maturité

Méthodologie de l’étude

Les niveaux de maturité ont été mesurés par rapport aux référentiels internationaux (NIST CSF / ISO 27001/2) lors de missions d’évaluation réalisées par des consultants de Wavestone, majoritairement sous forme d’entretiens avec les responsables sécurité des organisations concernées. L’échantillon, datant du 1 juin 2024, regroupe plus de 150 organisations (dont 100 dépasse 1 milliard de chiffres d’affaires) ce qui représente près de 7 millions de collaborateurs. Les données issues de ces évaluations individuelles ont ensuite été consolidées et analysées par les équipes de spécialistes de Wavestone.