Près de 90% des entreprises considèrent que le risque cyber a augmenté ces deux dernières années
Au cœur des préoccupations des entreprises, la cybersécurité est devenue en quelques mois un sujet clé, notamment dans un contexte de généralisation du travail à distance et de multiplication des attaques. Entreprises publiques ou privées, toutes les organisations sont désormais concernées. Ainsi, en tant que spécialiste de la transformation digitale des organisations, le cabinet de conseil mc2i s’est intéressé aux pratiques et inquiétudes des organisations au travers d’une étude menée en partenariat avec IDC (International Data Corporation). Si l’étude montre une nette tendance à la hausse des investissements, elle montre aussi que la gestion des cybermenaces reste complexe pour des organisations. Des efforts restent à faire sur l’identification des risques ainsi que sur les moyens de protection à mettre en œuvre.
L’augmentation du risque cyber impacte les dépenses de cybersécurité pour 75% des entreprises
Conscientes que le risque d’attaque cyber a augmenté depuis 2 ans, les entreprises sont désormais 88% à considérer que les cybermenaces peuvent impacter leur activité. Parmi celles-ci, les ¾ considèrent que l’augmentation du risque a des conséquences directes sur les dépenses en cybersécurité. En effet, 70% des répondants ont augmenté leurs dépenses de cybersécurité en 2021. Une accélération notable, puisqu’elles n’étaient que 45% à les avoir augmentées en 2020.
Cette tendance va se poursuivre en 2022 puisque selon les estimations, les dépenses consacrées à la sécurité IT atteindront 4,7 Md d’€ cette année (contre 4,3 Md en 2021).
« Les entreprises du secteur privé comme les organisations publiques sont conscientes qu’elles peuvent à tout moment être victimes de cyberattaques. En particulier, au cours des deux prochaines années, elles vont concentrer leurs efforts sur la lutte contre les attaques ciblées telles que les ransomwares. Cela passera par des investissements technologiques, notamment en matière d’automatisation et d’intelligence artificielle/Machine Learning, mais également en matière d’accompagnement via le recours à des services de sécurité IT. » explique Eddye Dibar, Senior Research Analyst chez IDC.
Plus d’une entreprise sur 2 vont augmenter leurs investissements dédiés à la sensibilisation des collaborateurs
Parmi les failles identifiées, c’est le comportement des collaborateurs qui inquiète le plus les responsables de la sécurité IT. Une réalité exacerbée dans un contexte post Covid puisque 2/3 des organisations jugent que le travail hybride entraîne une hausse des cybermenaces, (connexions internet vulnérables, hotspots wifi publics…). Alors que seules 43% des entreprises ont plus de 3/4 de leurs salariés sensibilisés à la cybersécurité, elles sont 55% à vouloir augmenter leurs dépenses en sensibilisation des salariés, considérée comme une priorité pour les 2 prochaines années par 64% des répondants.
« Une diversité de compétences alliant maîtrise technique, compréhension des enjeux métiers, capacité relationnelle, qualité pédagogique et appétence juridique est nécessaire pour répondre à la sensibilisation et à la formation des collaborateurs qui sera encore en 2022 l’un des investissements majeurs. Les entreprises cherchent des solutions pour sensibiliser et former rapidement de nombreuses personnes avec des méthodes et des approches innovantes telles que le recours à des formations immersives et ludiques. » affirme Nosing Doeuk, Directeur et associé chez mc2i.
Une prise de conscience qui amène une réflexion sur la mise en place d’une gouvernance et de moyens de protection contre les cybermenaces
Face aux cybermenaces, l’étude révèle que les entreprises françaises sont encore peu mâtures en matière de gouvernance et de gestion du risque cyber. En effet, plus de 3 ans après l’entrée en vigueur du RGPD, seules 4 entreprises sur 10 ont mis en place une entité chargée de la gouvernance des données, et seules 5% d’entre-elles considèrent qu’elles ont une très bonne capacité à adapter leur politique de conformité en fonction de la sensibilité de ces données. En matière de détection et de gestion des cyberattaques, le constat est également préoccupant puisque 40% des répondants n’ont pas encore de politique de détection des cyberattaques et 38% n’ont pas de process pour y répondre en cas de survenance.
Néanmoins, l’augmentation du risque amène une prise de conscience de la part des entreprises qui ont pour la majorité entamé une réflexion sur le renforcement de cette gouvernance. Pour cela, près de la moitié d’entre-elles prévoient d’avoir recours à une prestation de conseil ou d’audit afin de se faire accompagner. Par ailleurs, la souveraineté des données est aujourd’hui un enjeu pour 77% des répondants. Parmi ceux-ci, 50% déclarent d’ailleurs gérer désormais leurs données en interne, ou être en cours de rapatriement.
« Le contexte de tensions géopolitiques et commerciales fait apparaître une préoccupation nouvelle autour de la souveraineté numérique. C’est dans ce contexte de hausse de l’exposition à la menace que mc2i adapte constamment son offre d’accompagnement à la cybersécurité qui se veut différenciante par la constitution d’équipes pluridisciplinaires alliant maîtrise technique et fonctionnelle, pour répondre efficacement à des besoins désormais protéiformes. » complète Nosing Doeuk.
Face au risque cyber, l’assurance peine à convaincre
Alors que 41% des organisations ont déjà une police d’assurance associée à la gestion des cyber risques, près d’un tiers des répondants (26%) ne trouve pas de contrat adapté à ses besoins. La multiplication de clauses particulières (48%) et les prix trop élevés par rapport aux risques encourus (42%) sont les premiers freins évoqués par les entreprises.