62% des entreprises ont été touchées par cyberattaques en 2020
lun, 20/09/2021 - 17:25
HCL Technologies et ISACA présentent les résultats annuels de leur enquête mondiale sur l’état de la cybersécurité dans les entreprises, et menée fin 2020. Cette étude s’intéresse de plus près aux questions liées aux opérations de sécurité, les cybermenaces et la maturité des entreprises en matière de cybersécurité.
Après trois années consécutives de ralentissement des nouvelles attaques, les cyberattaques à destination des entreprises ont augmenté, jusqu’à atteindre un niveau qui n’avait plus été enregistré depuis 2018.
Les conclusions de l’enquête restent conformes à celles des années précédentes, notamment sur l’insuffisance des effectifs pour lutter contre les cybermenaces et ses conséquences. Voici quelques enseignements marquants :
- Après trois années de ralentissement continu de nouvelles attaques, la tendance est repartie à la hausse.
- Néanmoins, les répondants sont 77% à faire confiance aux équipes dédiées aux questions de cybersécurité au sein de leur entreprise. De même que 32% qui estiment que les programmes de formation et de sensibilisation à la cybersécurité ont un impact positif sur leurs comportements.
- La pandémie mondiale ne semble pas avoir eu d’incidence sur la question de la sécurité. 44% affirment que les menaces n’ont pas perturbé leurs activités et 43% soulignent que les dépenses des entreprises dans le domaine de la cybersécurité n’ont pas augmenté.
- Les sources de cyberattaques principales restent similaires à celles de 2020, à l’exception des menaces internes malveillantes (10%) et non malveillantes (8%), qui continuent de diminuer.
- L’enquête mesure également la cyber-maturité des entreprises : 65% se disent matures, et sont plus susceptibles d’avoir des équipes de sécurité dotées d’effectifs et de ressources budgétaires en cybersécurité suffisants.
- Les répondants dont les entreprises sont sensibilisées à la cybersécurité et qui se déclarent matures, sont deux fois plus confiants envers leurs entreprises pour détecter et répondre aux cyberattaques.
Les cyberattaques en hausse en 2021 après des années de ralentissement
Après trois années de baisse consécutives des nouvelles attaques, 62% des entreprises auraient été visées par des cyberattaques. En 2020, elles étaient 52% à répondre par l’affirmative, 55% en 2019 et 62% en 2018.
Cette année, 35% des personnes interrogées déclarent que leurs entreprises subissent davantage de cyberattaques, soit une hausse de 3% par rapport à 2020.
La confiance et la sensibilisation sont en hausse
Les salariés semblent par ailleurs avoir confiance en leurs équipes IT en interne, à 77%, pour détecter et répondre aux cybermenaces (en hausse de 3% comparé à 2020). De même, les entreprises constatent une amélioration des programmes de formation et de sensibilisation aux questions de cybersécurité. En effet, 32% des répondants estiment que ces programmes ont un impact positif fort pour les sensibiliser à la cybersécurité, contre 28% en 2020.
Malgré un manque de personnel et une surcharge de travail, les effectifs dédiés à la cybersécurité ont augmenté pendant la pandémie. Cela a permis aux entreprises de poursuivre leurs activités alors que la grande partie des employés travaillaient à distance.
Malgré l’adversité, l’enquête révèle que la pandémie n’a pas affecté les activités des entreprises. 44% des entreprises déclarent que les cybercriminels n’ont pas profité de la pandémie pour perturber les activités de leurs entreprises, et 43% notent que leurs entreprises n’augmentent pas leurs investissements de sécurité en raison de la pandémie.
S’agissant de l’impact de la COVID-19 sur la migration du cloud dans leur entreprise, 51% des répondants déclarent n’a eu aucun effet.
La place prépondérante du télétravail tout au long de la pandémie semble motiver des changements stratégiques plus adaptés à des employés plus flexibles. Plus d’une entreprise sur trois a adopté un modèle SASE (Secure Access Service Edge) voire une stratégie Zero Trust en approches privilégiée lors de la crise sanitaire.
Les principales préoccupations en matière de cybersécurité sont similaires à celles de 2020, à savoir la réputation d’entreprise (78%), la violation de données (69%), les perturbations dans la supply chain (49%).
La maturité en matière de cybersécurité est un impératif commercial
La maturité commerciale définit le degré de fiabilité ou de certitude d’un processus et la manière dont il permettra d’atteindre les buts et les objectifs souhaités. Compte tenu de l’évolution constante des cybermenaces, les entreprises doivent être en mesure de déterminer et de communiquer sur l’efficacité de leurs investissements en matière de cybersécurité.
Les budgets en matière de cybersécurité stagnent, il est donc important que les responsables se basent sur l’analyse des données pour prendre leurs décisions, pour évaluer ou ajuster les composants d’un programme de sécurité. Cette année, l’enquête a élargi les sujets abordés afin de saisir les mécanismes de survie des entreprises.
65% des entreprises évaluent positivement leur maturité dans la cybersécurité. Celles qui procèdent à ces évaluations sont plus susceptibles de disposer d’équipes dédiées à la sécurité bénéficiant de budgets adéquats. En outre, les personnes interrogées capables de mesurer la maturité des programmes de sécurité sont deux fois plus confiantes dans la capacité de leurs entreprises à détecter et à répondre aux cyberattaques.
Évaluer la cybermaturité n’est pas une tâche simple. Et les trois principaux obstacles mis en avant par les répondants sont les suivants :
- Difficulté d’intégrer la notion de risque pur lorsque l’on évoque l’idée de maturité dans la cybersécurité et les tendances du secteur (30%).
- Difficulté à différencier la maturité de la conformité en lien avec la gestion (29%).
- Compétence organisationnelle nécessaire pour comprendre et permettre l’évaluation de la maturité (27%)
Par ailleurs, les résultats de l’enquête montrent que la majorité des dirigeants accordent une attention particulière à l’évaluation des cyberrisques.
39% des répondants procèdent à des évaluations annuelles concernant les cyberrisques. Une approche qui manque de prudence, compte tenu de l’évolution constante des cybermenaces. Certains facteurs peuvent expliquer ces mauvaises pratiques comme la taille de l’entreprise et la conjonction de nombreuses difficultés : ressources (nombre suffisant d’employés dédiés à ces problématiques), lacunes dans l’entreprises sur ces questions, manque de temps et d’argent.
Sachant que 76% des répondants citent la conformité aux réglementations comme raison principale pour procéder à des évaluations sur les cyberrisques. Il convient de réfléchir aussi à la pertinence d’une approche articulée autour de la conformité plutôt qu’ancrée dans la réalité de la cybersécurité, qui se baserait sur les risques.
Le statu quo ne fonctionne pas
La prise en compte du changement est un impératif du quotidien pour les professionnels de la cybersécurité, pour atteindre leurs objectifs organisationnels, respecter les exigences réglementaires croissantes dans un climat toujours plus menaçant, le tout en collaboration avec les chefs d’entreprise.
Néanmoins, cette enquête montre que la COVID-19 n’a pas foncièrement modifié les plans et les investissements des entreprises en matière de cybersécurité ; les professionnels de la cybersécurité ont pu s’adapter sans perdre le pied.
Au final, bien que la partie sur l’évaluation de la maturité en matière de cybersécurité soit incontestable, elle présente des défis notables : notamment l’intégration du risque et de la maturité, la différence entre l’évaluation de la maturité sur les questions liées à la cybersécurité, la conformité ou la question des ressources nécessaires en interne.