Cybersécurité : les RSSI mobilisés sauvent leur budget en 2021

À quelques jours du premier anniversaire du confinement et de la vague de télétravail qui s’en est suivie, le baromètre annuel du CESIN* confirme qu’aucune entreprise n’est à l’abri d’une attaque. En 2020, une entreprise sur cinq déclare avoir subi au moins une attaque par ransomware.

57 % des répondants déclarent que leur entreprise a subi au moins une cyberattaque en 2020 (-8 points par rapport à 2019). Parmi eux, 80 % font état de phishing (+1 point) ; 52 %, d’exploitation de failles (+9) ; 42%, d’arnaques au président (-5) ; 41%, de tentatives de connexion à des comptes (+1).
Ces quatre causes dominaient déjà la hiérarchie l’an dernier.

Quels sont les dégâts causés par ces attaques ?  Le vol de données (30 % ; +4 points) et le déni de service (29 % ; +10 points) sont désormais plus fréquents que l’usurpation d’identité (23 % ; -12 points). L’infection par ransomware se stabilise (-1 point, à 24 %).

Impacts sur le business

Au niveau de l’activité, cela se traduit toujours essentiellement par des perturbations de production (27 %, stable) et des indisponibilités de sites web (16 % ; -1 point).

Le VPN garde la cote

Au-delà des antivirus et des pare-feu, le nombre moyen de solutions de protection mises en place diminue : 9,7 en moyenne, contre 11,9 en 2019.

En tête de liste, les VPN (90 % ; +5 points) enregistre une progression qui contraste avec le recul des passerelles de sécurité mail (77 % ; -8 points).

Le taux d’adoption reste stable pour les proxys/filtrages d’URL (83 %). Dans la suite du classement, les outils d’analyse de vulnérabilités gagnent du terrain (+14 points, à 72 %), comme les SIEM (+7 points, à 71 %). Le taux d’efficacité perçue correspond plus ou moins aux taux d’adoption.
Il est toutefois particulièrement élevé sur le MFA (83 % d’efficacité perçue pour 73 % d’adoption).

En revanche, on note une faible adoption du CASB (Cloud Access Security Broker) en dépit de la multiplication des offres et de la forte croissance du cloud dans les systèmes d’information.

Le zero-trust progresse aussi : 6 % des entreprises sont « très engagées » (+1 point) et 23 % ont
« mis en œuvre les premières briques » (+12 points). Le concept reste « un peu fourre-tout », estime Alain Bouillé, le délégué général du CESIN.

Assurances cyber et dépôt de plaintes

Autre croissance notable : les entreprises ayant souscrit une assurance cyber sont désormais 79 %, contre 60 % un an plus tôt. Mais pour près de la moitié des 24 % qui y ont fait appel, la démarche a été « compliquée ». L’efficacité des plaintes est tout aussi nuancée : 47 % y ont recouru, mais seulement 15 % des enquêtes ont abouti au moins à l’identification des attaquants.

Cloud : absence de maîtrise… et de sécurité native ?

Le shadow IT (recours massif aux services cloud non approuvés) apparaissait, dans la cinquième vague du baromètre, comme une préoccupation majeure. Il le reste, plus que le BYOD, l’utilisation d’appareils pros à des fins personnelles ou l’accès au réseau en mobilité.

Le cloud en général est porteur de multiples risques. D’une année sur l’autre, les entreprises évoquent toujours en premier lieu la non-maîtrise des chaînes de sous-traitance des hébergeurs (51 % ; +1 point). Arrive ensuite la difficulté à contrôler les accès par les hébergeurs (45 %, stable). Puis l’absence de maîtrise de l’utilisation faite par les salariés (44 % ; -2 points).

Le taux de confiance quant aux outils de protection que fournissent les CSP reste bas : 14 % (+5 points). Il est nettement plus élevé concernant la capacité des COMEX à prendre en compte les enjeux de cybersécurité.

Dans ce contexte, plus de la moitié des entreprises comptent augmenter leur budget (57 % ; -5 points) et leurs effectifs (52 % ; -1 point). Budget qui, pour une majorité d’entre elles, a représenté en 2020 moins de 5 % du budget IT global.

* Échantillon de 228 répondants RSSI, membres du Club d’experts de la sécurité de l’information.

Illustration principale © Rawpixel.com – shutterstock.com