Wavestone : la maturité cyber des entreprises françaises est trop faible

Ce 16 mars 2022, Wavestone a publié le résultat d’une évaluation terrain auprès de 75 grandes organisations françaises, représentant plus de 3 millions d’utilisateurs, pour évaluer la « maturité cyber » des grandes entreprises françaises, par rapport aux normes internationales NIST CSF Framework & ISO 27001/2.

L’étude estime cette maturité à 46% en moyenne, encore insuffisante. Wavestone pointe par ailleurs de fortes disparités en fonction des secteurs : si la finance et l’énergie, avec 54,4% et 51,8% de maturité, tiennent le haut du pavé, les services (42,5%) et le public (36,9%) sont très en retard.

Les entreprises soumises aux réglementations sur la sécurité des infrastructures critiques (NIS/LPM) se démarquent d’ailleurs par une plus grande maturité (55,4% vs. 43,3%). Face aux rançongiciels, 30% des organisations analysées sont par ailleurs « dans une situation à risque ».

L’étude révèle aussi que le budget cyber représente désormais 6,1% du budget IT tout secteur confondu, certes dans la fourchette recommandée (entre 5 et 10%), mais dans sa partie basse. Wavestone pointe enfin les fragilités les plus critiques pour les organisations françaises :

• la reconstruction à la suite d’une attaque (seulement 40% de maturité) ;
• la sécurité de l’Active Directory (analysée par moins d’un quart des organisations) ;
• la sécurité des systèmes d’information industriels (35% de maturité) ;
• la sécurité des applications et des données ;
• le cloud.

« Sur ce dernier point, de très mauvaises pratiques sont encore en vigueur, avec par exemple plus de 42% des organisations évaluées qui permettent l’accès d’administration à leur système cloud avec un simple login / mot de passe », expose Wavestone.