Cybersécurité : résultats insuffisants mais en progrès pour les entreprises

Peuvent mieux faire. C’est ce qu’il convient de dire au sujet de la maturité en matière de cybersécurité des entreprises mesurée par le cabinet Wavestone dans la nouvelle édition du Cyber Benchmark. Malgré tout, les progrès sont réguliers. Basée sur le respect des référentiels NIST CSF et ISO 27001/2, la note globale de maturité en cybersécurité atteint ainsi 49/100 en 2023, avec un gain de trois points par rapport à l’année passée. Le nombre d’organisations en situation critique est, lui, passé de 30 % en 2022 à 23 % en 2023. La maturité est globalement similaire (environ 50 %) sur chaque pilier du NIST CSF (identifier, protéger, détecter, répondre, reconstruire) avec, cependant, une faiblesse sur la reconstruction (43 %). Les différences selon les secteurs sont très nettes : la finance est ainsi en tête avec une note de maturité moyenne de 59,2/100 (le maximum est atteint par une banque britannique avec 88,9), le secteur public étant bon dernier avec une moyenne de 36,1/100 (le maximum y est de 62,4). Les secteurs régulés ont une maturité moyenne de 56,1/100, les non-régulés de 46,4.

A l’inverse, le secteur public est celui qui investit le plus en cybersécurité en proportion du budget informatique total : 6,6 % (contre une moyenne de 5,6 %). Déjà bien mature avec des grands programmes terminés, le secteur de la finance n’investit en cybersécurité que 5,4 % de son budget IT. L’investissement humain est également renforcé : en 2022, il y avait 1 expert en cybersécurité pour 1448 collaborateurs en moyenne alors que l’on atteint aujourd’hui 1 pour 1285 (le nombre de collaborateurs par expert en cybersécurité baisse donc de 11,85 %).

Des budgets encore faméliques

D’une manière générale, le taux des budgets IT consacré à la cybersécurité (5,6 % en moyenne) reste faible. Mais, malgré tout, les entreprises cherchent à justifier l’efficacité de leurs investissements. Selon Wavestone, les tendances technologiques sont d’une part l’automatisation, d’autre part la relance du chiffrement des données en lien avec le déploiement du cloud public. Enfin, Wavestone note une tendance à la globalisation de la fonction cybersécurité qui se rapproche de la sécurité générale et de la lutte contre la fraude, en particulier dans le secteur financier. 63 % des entreprises prévoient des clauses de cybersécurité dans les contrats conclus avec leurs fournisseurs (chiffre inchangé par rapport à 2022), 37 % des organisations auditant régulièrement leurs fournisseurs informatiques critiques. Mais seulement 13 % des organisations testent régulièrement leur plan d’intervention et de reprise d’activité sur le périmètre critique.

Pour les RSSI, les priorité déclarées pour l’année sont, d’une part la résilience, d’autre part le Zero Trust. Le Zero Trust a ainsi abouti au déploiement de l’authentification multifacteur dans 28 % des cas, la micro-segmentation réseau dans 24 % et le Zero Trsut Network Access dans 14 %. Côté résilience, la priorité reste la détection avec la réaction rapide en cas d’incident détecté même si, parfois, des incidents considérés comme de probables faux positifs sont négligés pour ne pas ralentir ou bloquer les métiers. 48 % (+16 % sur un an) des organisations ont mis en place un dispositif de type « red button » visant à pouvoir isoler une partie du réseau (en moyenne 58 %) en cas de suspicion d’incident. 58 % des organisations (+15 %) ont mis en place des sondes reliées au SIEM, dont 22 % (+3 %) des sondes d’analyse comportementale. Le cloud est un point de fragilité identifié : 70 % des organisations ont outillé leur contrôle de conformité du cloud (+7 %) même si seulement 11 % (+1 %) corrigent automatiquement les problèmes.