Cybersécurité : le calme avant la tempête ?

Tous les ans depuis 2015, le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) publie un Baromètre Annuel de la cybersécurité des entreprises telle que perçue par les RSSI et non pas par les fournisseurs de solutions. « Il s’agit du point de vue des entreprises subissant les attaques » souligne Mylene Jarossay, présidente du CESIN. La proportion d’entreprises ayant constaté la réussite d’au moins une cyber-attaque reste stable : 49 %. Comme se réjouit Alain Bouillé, délégué général du CESIN, « la baisse se confirme depuis plusieurs années ». 66 % jugent que la quantité d’attaques reste stable, 23 % qu’elle augmente et 11 % qu’elle baisse. Mais, face à toutes ces bonnes nouvelles, il ne faurt pas négliger les nuages noirs qui obscurcissent l’horizon, notamment les Jeux Olympiques et l’usage de l’IA pour faciliter les attaques et les fraudes. « L’impression qui se dégage est la poursuite de la croissance autant de la menace que de la défense » estime Mylene Jarossay. La course à l’échalote se poursuit donc entre cyber-attaquants et cyber-défenseurs.

Les principaux vecteurs de cyber-attaques restent similaires d’une année sur l’autre mais, malgré tout, avec des évolutions significatives. Ainsi, en tête du classement demeure le phishing avec 60 % des répondants concernés maiscette proportion est en chute de 14 %. L’exploitation des failles est à 43 % et les tentatives de connexion à 34 %. Les attaques par déni de service atteignent elles aussi 34 % mais avec une progression de 11 %. A l’inverse, l’arnaque au président recule à 28 % (-13 %). Cependant, pour Alain Bouillé, cette accalmie sur ce type de fraude est probablement temporaire : « avec l’IA capable d’imiter la voie voire l’image du responsable, cela va repartir de plus belle ». L’IA est utilisée par 46 % des entreprise mais seulement 16 % l’ont sécurisé.

Vecteurs et causes plutôt stables

Les causes, là non plus, ne changent pas beaucoup. La cyber-attaque opportuniste où le pirate a juste constaté une faille et en a profité sans parfois savoir où il entrait est ainsi en tête avec 39 %. Le shadow IT est juste derrière (35 %) avec en particulier la « shadow IAG ». Suivent les vulnérabilités résiduelles avec 34 % et les négligences et erreurs de configuration avec 33 %. Même si, pour Mylène Jarossay, « ce chiffre élevé est difficile à expliquer », le cyber-espionnage est considéré comme un risque important pour 41 % des répondants. Les risques perçus évoluent sensiblement. Par exemple, le télétravail est de plus en plus maîtrisé et le risque associé est en baisse. A l’inverse, les RSSI craignent le Cloud Shadow IT et les partages sauvages de données. Si le SaaS est souvent imposé par les éditeurs, le IaaS/PaaS n’est pas si répandu que ce que certains croient : moins de la moitié de l’IT a ainsi, à date, basculé. Le cloud est vu par les répondants pour un facteur de risque intrasèque car il est maîtrisé par le seul fournisseur. 66 % des répondants jugent que la sécurisation du cloud suppose des outils spécifiques. La souveraineté et le cloud de confiance, fort logiquement, demeurent des sujets importants pour 55 % des répondants.

Face aux menaces, les RSSI ont une confiance croissante au fil des années dans les solutions du marché. Pour 87 % des répondants, les solutions sont adaptées. Alain Bouillé note ainsi : « les solutions jouent leur rôle et les entreprises peuvent arrêter les attaques. » Le taux de confiance est particulièrement élevé pour les identifications multifacteurs (MFA, 93 %), les pare-feux (93 %) et les EDR (92 %, -7 %). « Le cabinet Gartner nous sort de nouveaux concepts très régulièrement et ceux-ci se font progressivement leur place telle que le Zero Trust actuellement » indique Alain Bouillé. Le Zero Trust est ainsi déployé ou en cours de déploiement chez 76 % des répondants, le Vulnerability Operation Center (VOC) chez 50 %, l’approche SASE chez 45 % et les CAASM (Cyber Asset Attack Surface Management) chez 34 %. Si les VOC et la gestion de la surface d’attaque ont tendance à être conservés en interne, CERT, pentests et threat intelligence sont plutôt, au contraire, externalisés.

L’après-cyber-attaque en pleine évolution

Les entreprises ont jusqu’à présent beaucoup travaillé à empêcher la réussite d’une cybersécurité, c’est à dire sur la phase amont. Désormais, le tendance est à travailler sur la phase aval, quand la cyber-attaque a eu lieu, pour la stopper et y remédier. « Les nouvelles réglementations, comme DORA, poussent dans ce sens » observe Alain bouillé.

Côté conséquences, le vol de données demeure en tête (31 % des répondants) devant le déni de service (30 %, +11 %), l’usurpation d’identité (30 %), l’exposition de données (sans vol constaté, 29 %) et les données chiffrées par un ransomware. Pour Alain Bouillé, « le ransomware s’essouffle car les entreprises payent de moins en moins la rançon, ce qui amène les criminels à s’en détourner. »

La cyber-assurance n’est pas obsolète

En réponses, les initiatives demeurent classiques. La sensibilisation des utilisateurs demeure un choix préférentiel pour 80 % des répondants, devant le déploiement d’un EDR (69 %) et la création d’un SOC (62 %). Le recours aux start-up est minoritaire : 51 % s’y refusent, 43 % l’admettent ponctuellement et 6 % souvent. L’externalisation partielle du risque grâce à la cyber-assurance reste, par contre, très populaire malgré les difficultés rencontrées par le marché. Ainsi 70 % des répondants ont actuellement un contrat, 11 % hésitant à le renouveler et 2 % y ayant renoncé. 75 % n’y ont pas recouru l’année écoulée, 13 % l’ayant utilisé et ayant été satisfaits de la prise en charge, 12 % l’ayant utilisé mais en considérant que la prise en charge ne s’était pas bien passée. Pour Alain Bouillé, il est évident que si les dommages sont en dessous du seuil de franchise, personne ne déclare l’incident. Pour négocier leurs contrats, les cyber-assureurs utilisent les agences de notation dont les métriques sont très contestées.

Lors des Jeux Olympiques de Tokyo, il y avait eu une forte croissance de la pression par les cyber-attaquants. Alors que la tension géopolitique est très forte actuellement, le CESIN estime qu’il est certain que les Jeux Olympiques de Paris vont provoquer une croissance forte des cyber-attaques, même si rien ne semble trop bouger actuellement. De plus, pour éviter les problèmes de transports, le télétravail va probablement faire un retour en force. Ce sujet sera inclus dans une étude future.