Le dernier baromètre du Cesin (Club des experts de la sécurité de l’information et du numérique) met en lumière une légère hausse des cyberattaques réussies en 2023.
Réalisé par OpinionWay pour le compte du Cesin depuis 2015, le Baromètre de la cybersécurité permet, chaque année, de dresser un bilan du combat que mènent les entreprises membres de ce club contre les cyberattaques. Des entreprises, à 88 % composées d’ETI et de grandes entreprises, les cibles privilégiées des pirates informatiques.
Premier enseignement de cette enquête : 49 % des sondés ont subi au moins une cyberattaque réussie en 2023, c’est-à-dire une attaque qui n’a pas pu être arrêtée par les dispositifs de protection ou de prévention. Un chiffre en hausse pour la première fois depuis 5 ans. Pour rappel, ce taux était de : 65 % en 2019, 57 % en 2020, 54 % en 2021 et 45 % en 2022.
Toujours le phishing
Lorsqu’on les interroge sur le type d’attaques qu’elles ont subi, le phishing est cité par 60 % des entreprises victimes (en baisse de 14 points sur un an). Pour rappel, le phishing (hameçonnage en français) est une technique qui permet à des pirates de se faire passer pour une banque, un fournisseur ou encore une institution publique auprès d’une entreprise ou d’un particulier afin d’obtenir des informations sensibles (coordonnées bancaires, mots de passe…) ou d’introduire un logiciel malveillant dans un système informatique. Basée sur l’usurpation de l’identité d’un tiers de confiance, cette technique d’attaque est difficile à contrer, ce qui explique son succès.
Les autres vecteurs d’attaques les plus souvent évoqués par les entreprises sont les vulnérabilités logicielles ou les défauts de configuration (43 %) utilisés par les pirates, les attaques en déni de service (34 %), les tentatives d’intrusions dans le réseau informatique de l’entreprise (34 %) et la fameuse arnaque au président (28 %) qui, comme son nom l’indique, consiste à se faire passer pour un dirigeant de la société afin de « forcer » un salarié de l’entreprise à mettre en œuvre un paiement qui sera détourné.
L’erreur humaine
Sur les causes des incidents constatés, le bilan dressé par les entreprises évolue. L’erreur de manipulation/de configuration ou la négligence d’un administrateur interne ou d’un salarié, l’an dernier classé en tête, recule à la 4e place (33 %), signe que des efforts de formation ont été entrepris. La cyberattaque opportuniste (39 %) est désormais la première cause de cyberattaque devant le recours au Shadow IT (35 %), c’est-à-dire l’utilisation par un salarié d’une application ou d’un matériel informatique souvent plus convivial ou performant que les solutions fournies mais non approuvées par la DSI. Là encore, des efforts de sensibilisation des salariés devront être menés pour limiter le Shadow IT.
Un impact sur le business plus de 6 fois sur 10
Si, dans 35 % des cas, une cyberattaque réussie n’a pas entraîné de perturbation, les autres fois, elle a eu un impact notable sur le business de l’entreprise victime. L’arrêt temporaire de la production, fréquent lors des attaques par rançongiciel (logiciel qui crypte les données informatiques, lesquelles ne pourront être déchiffrées qu’après le paiement d’une rançon), est cité par 24 % des répondants. Suivent l’indisponibilité du site web (22 %), l’impact médiatique (17 %), la compromission de données (12 %), ou encore les pertes financières liées à des transactions frauduleuses (12 %).
Des dispositifs de protection plus performants
87 % des entreprises interrogées estiment que les solutions et services de sécurité proposés sur le marché sont adaptés à leurs besoins (contre 88 % en 2022). Plus de 15 solutions différentes ont été adoptées, en moyenne, par les entreprises interrogées.
Mais les solutions techniques ne sont pas les seules qui sont déployées dans les entreprises. La sensibilisation des collaborateurs est également au programme. L’enquête révèle ainsi que dans la lutte contre les rançongiciels, elle apparaît, avec 80 % des citations, comme le premier dispositif de défense mis en œuvre en 2023. Suivent le déploiement d’un EDR (Endpoint Detection & Response) (69 %) et le renforcement des capacités de détection du SOC (Security Opérations Center) (62 %).
On note également que plus de la moitié des entreprises (57 %) déclarent avoir déjà mis en place un programme d’entraînement pour faire face à une cyber-crise. Pour rappel, le taux n’était que de 51 % en 2022 et de 44 % en 2021, signe que l’exercice prend désormais toute sa place dans les plans de reprise d’activité (PRA) établis par ces entreprises.
Enfin, le budget consacré à la cybersécurité est resté stable en 2023. 45 % des entreprises y affectent plus de 5 % de l’ensemble du budget IT et 39 % moins de 5 %. Les 16 % restant affirment ne pas avoir encore pris de décision à ce sujet.
L’enquête révèle également que 70 % des entreprises interrogées ont souscrit une cyber-assurance (contre 67 % en 2022) et que 57 % d’entre elles envisagent de la renouveler, contre 17 % qui songent à abandonner cette solution.
