Maturité des grandes organisations en cybersécurité : « peut mieux faire »
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
![Image Une autorité gouvernementale américaine critique la [cybersécurité défaillante de Microsoft]](https://incyber.org//wp-content/uploads/import/post/2022/04/google-critique-la-microsoft-dependance-du-gouvernement-us-885x690.png)
![Image [Fuites de données :] quel bilan après cinq ans de RGPD ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-datacenter-cybersecurite-cybersecurity-885x690.jpg)
Il reste du chemin à parcourir en la matière comme le montre le benchmark réalisé par le cabinet de conseil Wavestone auprès de plus de 75 de ses clients. Il leur attribue une note globale de maturité de 46 sur 100.
« Mieux vaut prévenir que guérir ». On pourrait imaginer qu’avec les innombrables cyberattaques qui défraient la chronique depuis des mois, ce dicton aurait trouvé un juste écho chez les grandes organisations françaises, cibles de choix pour les cybercriminels. Las, le benchmark le démontre, ce n’est souvent que confrontées à cette épreuve que les organisations prennent conscience des investissements à consentir pour s’assurer un certain niveau de sécurité.
« Le budget de la cybersécurité représente en moyenne 6,1 % du budget informatique global d’une entreprise avec des écarts très forts, affirme Gérôme Billois, partner au sein du cabinet Wavestone. Dans certaines structures, qui n’ont pratiquement pas abordé le sujet de la cybersécurité, il est d’environ 1%, quand dans d’autres, qui ont subi des cyberattaques, il peut atteindre jusqu’à 18%. Les investissements explosent l’année où l’organisation a été attaquée et s’enchaînent souvent les années suivantes, car mécaniquement, il faut se remettre à niveau ».
D’après lui, la direction générale de l’organisation en prend souvent son parti. Sa logique n’est pas de couper des têtes mais de dire « plus jamais ça » et « sécurisez-nous quoi qu’il en coûte », explique-t-il. D’autres facteurs ont également une influence sur les investissements en cybersécurité : l’organisation voisine qui a été victime d’une cyberattaque, la pandémie qui a contribué à décider les organisations à sécuriser tous les systèmes d’accès distants, et enfin, le conflit entre l’Ukraine et la Russie. « Beaucoup d’entreprises sont en cellule de crise et isolent les filiales russes et ukrainiennes par crainte de débordement d’attaques ou sont en train de resserrer les boulons sur des mesures de sécurité qui n’étaient pas complètement au fait », précise Gérôme Billois.
La reconstruction complexe
Les ransomwares sont le type d’attaques les plus répandues. « Les cybercriminels vont à la fois entrer dans les systèmes d’information, voler des données et bloquer les systèmes, puis demander une rançon pour débloquer le SI ou pour ne pas faire fuiter les données, explique Clément Jolliet, consultant senior chez Wavestone. En ce moment, ils pratiquent une stratégie de double extorsion pour renforcer la pression sur les victimes. La professionnalisation des cybercriminels est assez impressionnante ».
Cependant, aujourd’hui, à peine 5% des organisations vont payer la rançon. « Nombre de régulateurs et d’États ont fait savoir qu’il fallait arrêter de payer ces rançons qui financent la cybercriminalité. Mais les entreprises l’ont compris, qu’elles paient ou non, elles ont au final perdu confiance dans leur SI, déclare Clément Jolliet. Et quoi qu’il en soit, elles seront dans l’obligation d’effectuer toutes les opérations de reconstruction et de recherche des menaces dans leurs systèmes d’information ». Sachant que, selon le benchmark de Wavestone, la capacité de reconstruction à la suite d’une cyberattaque reste le sujet le plus complexe à traiter pour les organisations (note de 40 sur 100) dans la chaîne de valeur de la cybersécurité (« identifier », « protéger », « détecter », « répondre » et « reconstruire »).
Le bâton de la réglementation
Basé sur une évaluation terrain de plus de 180 mesures de sécurité, le benchmark a été réalisé durant ces trois dernières années auprès de plus de 75 très grandes organisations, dont les deux tiers emploient plus de 10 000 personnes, en majorité sous forme de rencontres en one to one avec les responsables sécurité (RSSI) des organisations.
« Le niveau de maturité a été calculé en s’appuyant sur des standards internationaux, en l’occurrence le standard NIST, le CSF Framework et les normes ISO 27001/27002, détaille Gérôme Billois. La note globale de maturité de 46 sur 100 cache cependant une forte disparité selon le secteur d’activité des organisations ». La finance fait la course en tête avec une note de 54,4 sur 100, suivie par l’énergie (51,8) et l’industrie (44,8). Les services et le secteur public sont derniers. Bien que conscients des risques, ils peinent en effet à identifier les investissements nécessaires. Il ressort du benchmark que 30% des grandes organisations restent très fragiles face à une potentielle attaque par ramsonware.
La législation peut, pour sa part, avoir un impact positif sur le niveau de cybersécurité des organisations. « Pour certains secteurs d’activité, il existe des réglementations les obligeant à se protéger, note Clément Jolliet. La loi de programmation militaire, notamment, identifie certains opérateurs appelés d’importance vitale pour l’État, par exemple dans les secteurs de l’énergie et des services financiers. Ils doivent mettre en place sur leurs SI IV (Systèmes d’Informations d’Importance Vitale) des mesures particulières de mise en conformité qui sont vérifiées par l’État ».