Le long chemin des entreprises vers la cyber-maturité

Depuis 2017, les directions des entreprises ne peuvent plus ignorer l’importance de prendre au sérieux la cybersécurité de leurs organisations. Si certains chiffres récents montrent une amélioration, d’autres font encore malgré tout relativiser les progrès accomplis.

Le long chemin des entreprises vers la cyber-maturitéComme chaque année, le cabinet de conseil spécialisé Wavestone publie son « Cyber-benchmark » d’une centaine de grandes organisations afin de mesurer leur maturité sur 16 thèmes différents. L’édition 2023 montre une augmentation de trois points en un an pour la « note de maturité globale en cybersécurité » définie par l’étude. Mais celle-ci s’inscrit encore à un niveau de 49/100, ce qui laisse donc voire une importante marge de progression. D’autant plus que la moyenne lissée cache d’importantes disparités. Ainsi, 23% des organisations sont toujours considérées en « situation critique » par les auteurs du rapport, malgré une amélioration récente (elles étaient 30% encore en 2022).

Du point de vue sectoriel, les entreprises de la finance culminent à 10 points de plus que la note globale, alors que les organisations publiques, elles, dépassent à peine le 36/100. Plus encore, Wavestone souligne à quel point le fait d’être soumis à des réglementations strictes fait progresser l’indicateur : il y a ainsi en moyenne 10 points d’écart entre les entreprises régulées (56,1/100) par rapport à celles non-régulées (46,4/100).

Le choc, puis la recherche de résilience

La prise de conscience a pourtant bien eu lieu. La part des budgets IT consacrée à la sécurité numérique s’établit ainsi à 5,6% ; et ce sont les secteurs en retard (Public, Luxe & Retail…) qui investissent le plus aujourd’hui (au-delà de 6% des budgets), à l’exception notable du secteur des services, dont l’indicateur de maturité ne s’établit qu’à 44/100 et qui ne consacre que 4,5% de son budget en moyenne au sujet.

C’est notamment la lutte contre les rançongiciels qui a traduit ces dernières années la montée en maturité des organisations et l’augmentation de leurs investissements. Depuis mai 2017 et le choc brutal de la succession d’attaques WannaCry (200 000 victimes estimées dans le monde), Adylkuzz,  et NotPetya, l’idée que toute entreprise allait être touchée un jour ou l’autre a fait son chemin. La médiatisation de ces importants incidents cyber a également contribué à sensibiliser les Comex, alors que le sujet s’est invité en première page des quotidiens économiques ou du journal télévisé.

La logique de résilience a également repris ses lettres de noblesse depuis la période pandémique, emmenant dans son sillage des transformations tant économiques (supply chain, organisation du travail…) que techniques (utilisation du cloud, redondance des systèmes, nouvelles solutions de cybersécurité…) décidées au plus haut niveau. Ainsi, une récente étude de SAS, entreprise spécialiste des logiciels d’analytique, souligne que 97% des 250 cadres supérieurs français interrogés par ses soins, estiment aujourd’hui que la résilience est un sujet fondamental. Ils sont cependant seulement 46% à décrire leur propre entreprise comme résiliente. Et la sécurité des données arrive à ce titre sur la première marche du podium des défis qu’ils estiment les plus urgents pour répondre à cette situation.

Cette préoccupation des dirigeants et des cadres supérieurs n’est toutefois pas aujourd’hui suffisante pour soulager les responsables sécurité eux-mêmes dans les organisations. Selon un rapport de l’entreprise Trellix (créée par la fusion en 2022 de McAfee Entreprise et de FireEye), 96% des RSSI ont ainsi « du mal à obtenir le soutien de leur exécutif pour l’obtenir de ressources nécessaires au maintien de la cybersécurité de l’entreprise ». Ils jugent d’ailleurs leur entreprise pas assez informée des risques et de la nature des problématiques qu’ils ont à gére. Près des trois quart d’entre eux se sentent donc « entièrement ou principalement responsables des incidents qui surviennent ».

Des sujets oubliés pour vraiment s’améliorer

Ces résultats concordent avec les enseignements d’une étude menée en 2022 par le Club des experts de la sécurité de l’information et du numérique (Cesin) et la société Advens. Celle-ci indiquait des niveaux préoccupants de stress pour les RSSI et les directeurs cybersécurité, 61% faisant état d’un stress élevé, et « particulièrement à risque » pour 28% du total (burnout…). Le sentiment d’impuissance face aux risques cyber étant à ce titre autant un facteur que la mauvaise répartition de la responsabilité vis-à-vis de ces risques dans les organisations.

D’importants efforts restent donc à réaliser, d’autant plus que la cybersécurité recouvre un ensemble complexe de mesures complémentaires, pas toujours traitées avec le même niveau d’attention dans les organisations. Gérôme Billois et Clément Jolliet, les auteurs du rapport Wavestone, notent qu’au global, les efforts d’investissements se répartissent heureusement de façon plus équilibrée en 2023 : « Les piliers NIST (Identifier, Protéger, Détecter, Répondre, Reconstruire, NDLR) sont aujourd’hui principalement homogènes, témoignant des investissements importants réalisés ces dernières années sur l’ensemble des thèmes. Le sujet Reconstruire est encore légèrement en retard à cause de sa complexité et du nombre de systèmes concernés ». Dans la plupart des entreprises, les sujets de la « Réaction » et de la « Détection » sont les priorités annoncées d’investissement.

Un autre point de souffrance notable est enfin à mettre en avant : celui du manque de vision « écosystémique » des entreprises pour leur sécurité. La multiplication des exemples de « supply chain attacks », permettant l’entrée des agresseurs par l’interconnexion des systèmes entre une organisation et ses prestataires ou partenaires, à largement attiré l’attention sur le sujet.

En la matière, Wavestone note que l’évolution de maturité sur ce sujet est plus faible que la moyenne générale de son indicateur consolidé. Et si 63% des organisations interrogées ont bien des clauses contractuelles pour intégrer la sécurité dans la relation avec leurs fournisseurs, elles ne sont que 37% à auditer ceux qui sont pourtant des « fournisseurs informatiques critiques ». Pire encore, à peine plus d’une sur dix testent leurs plans d’intervention et de reprise d’activité avec leurs partenaires et prestataires sur tous leurs périmètres critiques. Signe s’il en est que la maturité cyber qui permettra d’être « plus fort ensemble », et de créer un cercle vertueux d’amélioration y compris vis-à-vis des plus petites organisations, n’est pas encore à l’horizon.