Cybersécurité : la maturité des entreprises laisse encore à désirer

L’image que les DSI et RSSI ont de leur maturité en sécurité informatique est plus positive que la réalité.

Une étude réalisée par le cabinet PAC montre que les DSI et les RSSI surestiment la maturité de la sécurité informatique de leurs organisations.

Est-il encore nécessaire de pointer l'importance de la sécurité informatique face au développement des cybermenaces ? 55% des entreprises françaises ont été victimes d'une cyberattaque au moins une fois dans les douze derniers mois, 30 % d'entre elles plus d'une fois, rappelle ainsi la dernière étude PAC sur la cybersécurité. Face à ce danger permanent, on pourrait s'attendre que tout soit fait pour protéger les entreprises. Or l'étude PAC révèle une surestimation catastrophique du niveau de maturité des entreprises en matière de sécurité informatique. Selon le cabinet d'études, 41 % des entreprises françaises sont moins matures en termes de cybersécurité́ qu'elles ne le pensent, 53% des entreprises interrogées déclarant un niveau de maturité en cybersécurité élevé.

Un chiffre, notamment, fait frémir : « 14% des entreprises ayant déclaré avoir une maturité en cybersécurité très élevée n'ont pas mis en place de stratégie de cybersécurité ». La direction générale ou le comité exécutif (Comex) ne valident la stratégie de sécurité informatique que dans 41 % des cas. Le RSSI n'est directement rattaché au Comex que dans 22 % des cas. Alors que les ransomwares et autres logiciels malicieux s'introduisent en général par des erreurs humaines, sensibilisation et formation des collaborateurs à la cybersécurité ne sont mises en place que par 65% des entreprises interrogées.

Côté moyens, 62 % des entreprises consacrent au plus 5 % de leur budget IT à la cybersécurité même si 52 % pensent l'augmenter dans les deux prochaines années d'au moins 10 %. La sécurisation des environnements cloud n'est effective que dans 44 % des cas. Les approches de type zero trust, SASE (Secure Access Service Edge), etc. sont très minoritaires voire marginales, tout comme l'adoption de l'identification multifactorielle ou la mise en place d'un SOC (Security Operations Center).

A propos de l'étude

L'étude « Cybersécurité, les entreprises françaises surestiment encore leur maturité » du cabinet PAC (Pierre Audoin Consultants, groupe Teknowlogy) a été réalisée avec le sponsoring de Sopra Steria et d'Ilex International (groupe Inetum). Elle est basée sur une enquête menée avec le soutien du Crip (Club des Responsables d'Infrastructure et de Production) auprès de 350 entreprises françaises (46 % de grandes entreprises de plus de 5000 collaborateurs, 54 % d'ETI de 500 à 5000 collaborateurs). Les répondants étaient DSI (25%), RSSI (21%), directeur métier ou général (26%) ou d'autres décideurs IT.

Par Bertrand Lemaire