Cybersécurité : les investissements commencent à payer

Pour la dixième édition de son baromètre annuel, le CESIN analyse en profondeur l’état de la menace et les mesures prises par les organisations pour y faire face. Grâce à des moyens conséquents, une certaine forme de maîtrise des risques commence à s’installer pour les grandes entreprises.

47 % des entreprises déclarent avoir subi au moins une cyberattaque significative en 2024, selon la 10ᵉ édition du baromètre annuel du CESIN. Ce chiffre est stable par rapport à l’année précédente, reflétant une maturité croissante des organisations les mieux équipées en ressources et solutions de cybersécurité. Cette stabilisation fait suite à une baisse progressive entre 2019 et 2022 (de 65 % à 45 %), témoignant des bénéfices d’une gestion proactive des risques et d’investissements stratégiques dans la cybersécurité.

« Toutes les entreprises ne sont pas logées à la même enseigne. Le baromètre interroge des entreprises qui sont équipées en processus, ressources humaines et services de cybersécurité, ce qui n’est pas encore le cas dans toutes les organisations, loin de là, malheureusement. Il y a encore une grande différence entre les grands groupes et les ETI », déclare Fabrice Bru, Directeur cybersécurité et architecture de la STIME, DSI du Groupement Les Mousquetaires, et Président du CESIN.

« La stabilité que nous constatons depuis quelques années dans les attaques réussies s’explique par le fait que nous interrogeons dans ce baromètre des entreprises dotées d’une gouvernance et de moyens de détection et de protection. C’est un peu comme pendant les JOP de Paris 2024 : quand les moyens en matière de cybersécurité sont présents, cela permet de repousser efficacement les attaquants », explique de son côté Alain Bouillé, Délégué général du CESIN

Le phishing, principal vecteur d’attaque, devant l’exploitation de failles et le déni de service

Le phishing reste le vecteur d’attaque dominant (60 %), identique à 2023, suivi par l’exploitation de failles (47 %) et les dénis de service (41 %). « En ce qui concerne les arnaques au président, nous avons souhaité mesurer cette année les arnaques utilisant les deep fakes. Avec un pourcentage de 9 %, l’entrée peut paraître timide, mais elle est en réalité significative. Avec les deep fakes, les cybercriminels augmentent la véracité de leurs opérations, et donc leur efficacité », ajoute Alain Bouillé.

« Ce qui change avec l’IA générative et les deep fakes, c’est l’industrialisation. Aujourd’hui, produire un deep fake audio ou vidéo est extrêmement simple, cela se fait en quelques minutes et la qualité est au rendez-vous. Nous pouvons donc nous attendre à une volumétrie d’attaques qui va emprunter les canaux de l’instantanéité, c’est-à-dire les chats : Teams ou WhatsApp par exemple, avec un bon ROI. Cela va complexifier le travail des RSSI, car parfois, même une oreille avertie n’arrive pas à distinguer le vrai du faux. C’est donc un indicateur à observer de près », complète Mylène Jarossay, CISO Groupe LVMH et vice-présidente du CESIN.

Le vol de données en tête et en forte hausse

Cependant, l’impact des attaques s’intensifie, avec en tête le vol de données en nette augmentation (+11 points à 42 %) dont il constitue la principale conséquence. « L’augmentation des vols de données s’est manifestée lors des gros incidents qui ont touché en 2024, entre autres, France Travail, Malakoff Humanis et Free, avec des millions de données dans la nature. L’usurpation d’identité arrive en bonne position également, ce qui revient à dire que le MFA (authentification multifacteur)n’est malheureusement pas déployé partout. Quant aux données chiffrées par un ransomware, nous observons une baisse de 9 %, ce qui montre que les effets des rançongiciels vont peut-être commencer à décliner », note Alain Bouillé.

« L’augmentation du vol de données veut certainement dire que les attaquants parviennent à mieux se rémunérer grâce à la divulgation des données qu’avec le déni de service. Les entreprises parviennent aussi probablement à mieux se relever de chiffrements de données, alors que la divulgation – et la demande de rançon qui l’accompagne – reste un sujet plus sensible », analyse Mylène Jarossay.

Quoi qu’il en soit, les conséquences sur le « business » pendant une période significative est avéré à 65 %, avec une perturbation sur la production dans 23 % des cas, tandis que la perte d’image et l’impact médiatique sont cités dans 16 % des cas.

Des défenses plus robustes, et une meilleure maîtrise des assets

Comme l’année précédente, les entreprises continuent – au-delà des incontournables pare-feux – de plébisciter les solutions EDR (95 % d’efficacité perçue, +5 points) et l’authentification multi facteurs (MFA). « Personne n’imagine aujourd’hui avoir un PC branché sur Internet sans antivirus. Il en sera de même demain pour l’EDR qui va rentrer dans la catégorie des ‘communs’ incontournables », précise Alain Bouillé.

Il est à noter par ailleurs que les concepts innovants tels que le Zero Trust et le VOC (Vulnerability Operation Center) poursuivent leur progression, atteignant respectivement 31 % (+7 points) et 26 % (+9 points) pour les entreprises interrogées. « Nous constatons une augmentation générale du jugement positif lié à l’efficacité des solutions présentes sur le marché. Concernant le VOC, qui prend toute son ampleur, nous voyons que plus nous avons d’outils qui nous remontent des vulnérabilités, plus il faut être capable de les prioriser, de les suivre et de les traiter. Autre concept qui monte en puissance : le CAASM (gestion des assets et de la surface d’attaque), car on ne défend bien que ce que l’on connaît bien », précise Mylène Jarossay.

Du côté des environnements Cloud, la mauvaise visibilité de l’inventaire des assets dans les clouds publics diminue en 2024 (31 %, -7 points), en lien avec l’adoption croissante d’outils performants comme les solutions EASM (External Attack Surface Management) et CAASM (Cyber asset attack surface management). Ces technologies permettent une cartographie plus précise des ressources, qui réduit les angles morts et renforce la posture de sécurité des entreprises. Cette évolution témoigne encore d’une maturité des organisations, bien que des défis subsistent, notamment sur le contrôle des accès administrateurs et des sous-traitants.

Un écosystème en transition avec l’essor de l’IA et la maîtrise des risques liés aux tiers

Les incidents liés aux tiers restent une préoccupation majeure. 28 % des entreprises signalent de mauvaises pratiques, tandis que 85 % d’entre elles adoptent des clauses de sécurité dans leurs contrats pour atténuer ces risques. Cette tendance s’inscrit dans la continuité des résultats de 2023, où l’impact des tiers était déjà souligné. « Dans les grands incidents survenus en 2024, il y a toujours un fournisseur qui n’a pas bien protégé les données qui lui ont été confiées. Les réglementations NIS2 et DORA ont bien compris cet enjeu et le sujet est très prégnant dans l’agenda des RSSI », commente Alain Bouillé.

Concrètement, les RSSI commencent à mettre en œuvre certaines mesures pour réduire le risque lié aux tiers. « Un grand nombre de nos membres ont prévu des clauses de sécurité dans les contrats avec les tiers. Ils mettent aussi en place des questionnaires de sécurité. C’est une pratique qui commence à être bien rodée désormais. Mais quand on descend sur la mesure, les SLA et les KPI, il y a déjà un peu moins de monde, et encore moins sur l’audit. Quant à la surveillance du tiers et de sa surface d’attaque, elle est assez faible. Le fait d’avoir signé un contrat avec un tiers n’empêche pas l’incident d’arriver », ajoute Mylène Jarossay.

Quant à l’IA, elle s’impose comme un levier de transformation numérique incontournable. En effet, le recours à l’intelligence artificielle fait un bond avec une adoption forte, puisque 69 % des entreprises intègrent désormais l’IA dans leurs processus, contre 46 % en 2023 (+23 points). Néanmoins, on constate que seulement 35 % des organisations l’ont incluse dans leur stratégie de cybersécurité, révélant un potentiel d’amélioration significatif.

Encadré :

Le baromètre annuel du CESIN a été réalisé avec OpinionWay. Cette enquête indépendante a été menée auprès de ses membres, Directeurs Cybersécurité et Responsables Sécurité des Systèmes d’Information (RSSI). Les données sont issues de la réponse de 401 personnes interrogées.