Annuellement, le Cesin scrute l’état de santé de ses membres en ce qui concerne la cybersécurité pour l’année qui vient de s’écouler. Selon les observations majeures du club, le nombre d’attaques qui ont réussi est resté stable. Cela pourrait être le résultat d’une maturité croissante en termes d’outils tels que le MFA ou l’EDR. Cependant, des préoccupations persistent quant à la recrudescence possible du déni de service et du shadow IT, particulièrement à l’ère de l’IA.

Mylène Jarossay, présidente du Cesin, déclare lors de la présentation du 9ème baromètre sur la sécurité informatique des entreprises françaises : « Le danger est toujours présent, mais la réponse s’organise ». Plus de 450 entreprises ont participé à cette enquête, offrant une vue d’ensemble des défis à relever en 2023. Plusieurs leçons peuvent être tirées de cette étude.

En premier lieu, le groupe note une certaine constance dans les attaques réussies (ayant un impact significatif) où 49% des participants ont signalé au moins une cyberattaque. C’est un peu plus que l’année précédente, mais 66% estiment que ces campagnes sont stables par rapport à l’année précédente. Ces données sont à comparer avec l’indice de confiance dans les solutions de sécurité informatique (89%). « Les entreprises ont estimé que les solutions ont rempli leur rôle et ont réussi à bloquer des attaques », note Alain Bouillé, délégué général du Cesin.

Augmentation significative des dénis de service et apparition de l’exposition des données

En ce qui concerne les méthodes d’attaque, l’observatoire remarque que le hameçonnage et ses variantes restent la menace la plus courante malgré une baisse de 14 points. La surprise vient de la recrudescence des campagnes de déni de service (+11 points) où « le contexte géopolitique et les conflits sociaux ont joué un rôle », observe le responsable. En ce qui concerne la menace des rançongiciels, il note « un certain ralentissement et cela rapporte moins ». Reprenant les mots de Fernand Raynaud, il suppose que « le rançongiciel ne rapporte plus », suggérant que les entreprises refusent de plus en plus de payer les rançons.

Les conséquences, malheureusement connues, sont le vol de données ou l’usurpation d’identité. Mais le Cesin introduit une autre conséquence, l’exposition des données, « il s’agit par exemple d’une mauvaise configuration qui a rendu les données visibles sur Internet. Ce n’est pas en soi une attaque, mais avec 29% des participants, c’est un critère à ne pas négliger », analyse Mylène Jarossay.

L’IA, une préoccupation future

En toile de fond de l’observatoire, l’IA – en particulier générative – est une source de préoccupation pour les mois à venir. Pour 30% des participants, la technologie est déjà utilisée par les services et les équipes de développement, mais sans l’adoption d’une stratégie de sécurité appropriée. Si l’on ajoute les 16% qui utilisent l’IA et ont une stratégie de sécurité dédiée, près de la moitié des RSSI sont donc confrontés à cette tendance. « On peut voir le verre à moitié vide ou à moitié plein », note Alain Bouillé, car 43% des participants déclarent que l’IA n’est pas utilisée « officiellement » et est assimilée à l’informatique fantôme.

« Le problème de l’informatique fantôme est très présent, surtout avec le développement de l’IA générative. Les entreprises ont beaucoup de mal à le gérer », analyse la présidente du Cesin. Elle pourrait même redonner un coup de fouet à des attaques en déclin comme l’escroquerie au président (en baisse de 13 points). Il n’est donc pas surprenant que parmi les priorités des RSSI figure l’adaptation des solutions de sécurité aux transformations numériques de l’entreprise (y compris l’IA).

Une maturité sur le MFA, l’EDR et le zero trust

En termes d’outils, les entreprises interrogées gagnent en maturité sur certains aspects. Ainsi, l’authentification multi-facteurs (MFA) continue sa progression +8%. Alain Bouillé souligne que « depuis le Covid, ce système a fait ses preuves et se développe au sein des entreprises ». C’est également le cas de l’EDR, « un outil devenu indispensable » pour le responsable et qui convainc 54% des participants. Parmi les surprises, on note l’essor des solutions d’IAM (gestion des identités et des accès), probablement dû à l’adoption de solutions SaaS par les entreprises. En moyenne, les entreprises disposent d’environ 15 produits de cybersécurité (jusqu’à 50 dans les grandes entreprises).

En ce qui concerne les concepts de cybersécurité, le zero trust commence à gagner en maturité, note l’observatoire. Parmi ceux qui émergent, il y a le VOC (centre d’opération de vulnérabilité), « la gestion des vulnérabilités devient une industrie. Avec l’augmentation significative des failles, il est nécessaire d’avoir un centre de contrôle pour les gérer », admet Mylène Jarossay. Dans le cadre du Cesin, le CAASM (gestion de la surface d’attaque des actifs cybernétiques) fait son apparition, « c’est une réponse à l’évolution des systèmes d’information vers le cloud », souligne la présidente.