CESIN : les cyber-attaques réussies moins nombreuses mais plus dangereuses

Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), l’association professionnelle des CISO/RSSI, vient de publier la onzième édition de son «  Baromètre de la cybersécurité des entreprises ». L’objectif de ce baromètre est de connaître la perception des enjeux et de l’état de la cybersécurité par les CISO membres du CESIN, la réalité concrète des cyber-risques tels que vécus en entreprises et mesurer les évolutions perçues en matière de cybersécurité. Le premier enseignement de la dernière édition de ce baromètre est que les tentatives d’attaques sont de plus en plus stoppées par les entreprises mais, symétriquement, les cyber-attaques significatives, c’est à dire ayant un impact réel sur l’entreprise en termes de business ou d’intégrité du SI, ont des conséquences plus lourdes.

En 2019, 65 % des entreprises subissaient au moins une cyber-attaque significative par an. Depuis, ce chiffre ne cesse de baisser (malgré un léger rebond en 2023), atteignant 47 % en 2024 et 40 % cette année (50 % dans les grandes entreprises, 34 % dans les ETI). 74 % des répondants estiment que le nombre global de cyber-attaques est resté stable, 17 % qu’il a augmenté et 9 % qu’il a diminué. Dans les organisations ayant subi au moins une attaque significative, les chiffres sont respectivement de 54 %, 42 % et 4 %. La menace d’origine étatique s’accroît pour 53 % des répondants.

La data première victime, le message piégé première source

Le premier vecteur demeure le message piégé (phishing, smishing, etc.) : c’est l’amorce de 55 % des attaques significatives, devant l’exploitation d’une faille (41 %) et l’attaque indirecte via un tiers (35 %). Juste derrière le podium, l’arnaque au président est en nette baisse (26 % contre 36 % l’an passé) et se fait doubler par la fuite de données due à une erreur humaine ou de configuration (27 % mais 36 % dans les grandes organisations, nouvel item cette année). Les organisations accusent cependant largement « les tiers », autrement dit « ce n’est pas moi, c’est les autres ». La cyberattaque exploitant un défaut de sécurité chez un tiers avec un impact sur l’entreprise répondante (données volées…) est ainsi dénoncée par 34 % des répondants devant les vulnérabilités critiques sur des produits et composants présents dans l’entreprise (faute de l’éditeur de logiciel) avec 32 %. Le ransomware bloquant un fournisseur critique suit avec 30 %. Mais seuls 40 % mènent des audits des tiers, 85 % se reposant sur des clauses contractuelles. Quand ce ne sont pas « les tiers », ce sont évidemment les collaborateurs qui sont en cause avec des comportements inappropriés tels que le shadow IT et, désormais, le shadow IA.

Côté conséquences, c’est bien le patrimoine data qui est la première victime. Le vol de données est ainsi la première conséquence (52 % des cas) devant le déni de service (28 %), l’exposition de données (27 %) et les transactions frauduleuses (25 %). L’effacement ou l’altération des données est bien derrière (13 %) mais a plus que doublé (6 % l’an dernier). 81 % des organisations ayant subi au moins une attaque significative ont constaté un impact sur le business avec, en premier lieu, une perturbation de la production (28 % des répondants mais l’arrêt durant un temps significatif de la production n’a concerné que 14 %) devant l’impact sur l’image (26 %). La compromission d’informations ou de savoir-faire spécifiques est au même niveau que la perte de chiffre d’affaires : 18 %.

Les outils de cybersécurité appréciés

Face aux menaces, les organisations déploient une panoplie d’outils pour se protéger et la baisse des attaques réussies est là pour corroborer la satisfaction affichée vis-à-vis de ces outils. Les solutions et services de sécurité disponibles sur le marché sont adaptés à leurs organisations pour 88 % des répondants. Les outils sont largement déployés : pare-feux (98 %), EDR (95 %), Authentification multi-facteurs (MFA, 94 %), etc. Mais notons que certains mériteraient une meilleure diffusion, tels que les Cloud Access Security Broker (CASB) qui ne sont présents que dans 32 % des entreprises alors que les SI sont de plus en plus cloudifiés. 39 % ont recours à des solutions innovantes issues de start-ups.

La cybersécurité est gérée en interne pour les outils de base mais l’externalisation/mutualisation est largement pratiquée pour des certaines approches. Ainsi, la sécurité réseaux est gérée à 75 % en interne alors que les tests d’intrusion sont à 56 % en externe, les CERT à 45 % et les SOC à 35 % (34 % en hybride). 84 % jugent être prêts à détecter une attaque de grande ampleur, 80 % à prévenir et protéger mais 65 % seulement à reconstruire l’IT et 50 % à avoir une continuité d’activité business.