3 min

[FIC 2023] Cybersécurité : la maturité des entreprises continue de progresser

Malgré une forte hétérogénéité en fonction des secteurs, la maturité des entreprises françaises en matière de cybersécurité s’améliore. Tout comme la prise en compte des enjeux liés au cloud et au Zero Trust.

Pour la troisième année consécutive, le cabinet de conseil Wavestone publie son Cyberbenchmark. Cette étude, réalisée auprès de plus de 100 organisations représentant près de 5 millions d’utilisateurs, repose sur une évaluation terrain de près de 200 mesures de sécurité. D’une année sur l’autre, l’étude Wavestone fait apparaître une progression de trois points de la maturité des entreprises en matière de cybersécurité. Leur score global de maturité passe en effet de 46 % à 49 %, le score étant relatif aux exigences des normes internationales NIST CSF Framework & ISO 27001/2.

L’étude révèle néanmoins une hétérogénéité en fonction des secteurs. Celui de la finance tire son épingle du jeu avec un score de 59,2 %, en progression de 4,8 points depuis 2022. Ce résultat s’explique par les investissements conséquents et historiques réalisés dans ce secteur, encouragés par les réglementations.

Le secteur de l’industrie suit la progression (4,6 points), tandis que le secteur des services (44 %) et le secteur public (36,1 %) ferment la marche. Ces derniers, bien que conscients des risques, peinent à identifier les financements nécessaires. Avec un score de 51,8 %, le secteur de l’énergie reste légèrement au-dessus de la moyenne. Globalement, les entreprises soumises aux réglementations sur la sécurité des infrastructures critiques (NIS/LPM) se démarquent des autres, leur score de maturité étant de 56,1 % contre 46,4 % pour les autres.

Le niveau de maturité des entreprises en matière de cybersécurité en fonction des secteurs © Wavestone

5,6 % des budgets IT consacrés à la cybersécurité

La part du budget informatique global que consacrent les entreprises à la sécurité est de 5,6 %. Ce chiffre peut paraître faible à première vue mais il augmente significativement en cas de cyberattaque, pour avoisiner les 15 %. « La matérialisation d’une crise permet une mobilisation à haut niveau du coté exécutif ; elle engendre également les mécaniques permettant des niveaux d’investissements très forts », déclare Gérôme Billois, Associé en charge de l’activité cybersécurité de Wavestone.

D’un point de vue sectoriel, ceux qui investissent le plus sont les services publics (6,6 %), l’industrie (6 %) et le secteur du luxe/retail (6 %). Le retard à rattraper est plus important dans ces secteurs et la prise de conscience, plus tardive, engendre aujourd’hui des effets notables. Il est à noter que la finance a largement investi les années précédentes et qu’elle dispose de budgets informatiques sans commune mesure avec les autres secteurs d’activité.

La part du budget informatique global que consacrent les entreprises à la cybersécurité en fonction des secteurs © Wavestone

Le cloud, un enjeu majeur

Parmi les principaux enjeux auxquels sont confrontées les entreprises, le cloud arrive en bonne position. Concentrant des investissements importants, il atteint aujourd’hui 44,5 % de maturité, contre seulement 36,1 % l’an dernier. La progression la plus importante s’effectue au niveau de l’administration cloud : entre 2022 et 2023, 14 % des organisations ont mis en place une authentification multifacteurs (MFA) ou un bastion pour l’accès aux actions d’administration cloud.

Quant à la surveillance, 42 % des entreprises comptaient en 2022 uniquement sur les alertes de leur fournisseur cloud. Elles ne sont plus que 38 % en 2023. Enfin, 70 % des organisations déclarent aujourd’hui vérifier automatiquement la conformité du cloud à l’aide d’outils. Seules 11 % d’entre elles corrigent cependant automatiquement les problèmes de conformité du cloud.

« De manière instinctive, on pense que le Cloud est sécurisé. C’est vrai pour ce qui est de la responsabilité des fournisseurs, mais beaucoup d’actions restent de la responsabilité des organisations utilisatrices… et sont malheureusement souvent oubliées ! C’est un point majeur pour la sécurité des nouvelles applications », commente Gérôme Billois. © Wavestone

Zero Trust : une vague de fond en cours de déploiement

Autre enjeu majeur de ces prochaines années en matière de cybersécurité : le Zero Trust. Le Cyberbenchmark du cabinet Wavestone fait apparaître que 24 % des organisations ont mis en place une micro-segmentation automatique en fonction de l’exposition, de la sensibilité et de l’environnement, et que 14 % d’entre elles ont déployé du Zero Trust Network Access (ZTNA) fondé sur l’identité pour leurs environnements cloud.

Zero Trust, une stratégie majeure en cours de déploiement © Wavestone

28 % des entreprises interrogées prennent par ailleurs en compte la sensibilité des ressources et le contexte de connexion. Elles ont ainsi déployé une authentification multifacteurs avec accès conditionnel, un dispositif déployé à hauteur de 73 % en moyenne. Enfin, 13 % des organisations ont commencé à déployer un SOAR (Security Orchestration, Automation and Response) permettant d’isoler les ressources lors de la détection d’une alerte.

Méthodologie de l’étude

Les niveaux de maturité ont été mesurés par rapport aux référentiels internationaux (NIST CSF / ISO 27001/2) lors de missions d’évaluation réalisées par des consultants de Wavestone, majoritairement sous forme d’entretiens déclaratifs avec les responsables sécurité des organisations concernées. L’échantillon, datant du 1er avril 2023, regroupe plus de 100 organisations (dont une majorité avec plus de 10 000 employés et 30 groupes du Tier1 : organisations du CAC40, du FTSE100, ou avec plus de 100 000 salariés), ce qui représente près de 5 millions de collaborateurs en France. Les données issues de ces évaluations individuelles ont ensuite été consolidées et analysées par les équipes de Wavestone.

Partager cet article avec un ami