Bilan mitigé du Cesin sur la cybersécurité des entreprises

02-03-2016

Dans son livre blanc 2015, le Club des experts de la sécurité, de l'information et du numérique (Cesin) est revenu sur la sécurité informatique dans le monde de l'entreprise. Si les entreprises ne sont pas encore assez equipées pour se protéger et réagir en cas d'attaque, le rapport note une meilleure prise de conscience des enjeux. Les PME demeurent particulièrement vulnérables.

Le Club des experts de la sécurité de l'information et du numérique (Cesin) vient de publier Cyberattaques : où en sont les entreprises françaises ? la seconde édition de son livre blanc co-édité avec Provadys, une société de conseil en sécurité numérique. Point saillant : si ces dernières ont progressé en matière de sécurité informatique, « il reste encore beaucoup de chemin à parcourir », comme l'indique Alain Bouillé, président du Cesin.

Malgré une meilleure compréhension des enjeux, les entreprises ne mettent pas toujours en place les outils nécessaires pour une meilleure défense. En effet, elles ne sont que 58% à disposer d'une organisation pour détecter les incidents de sécurité. De plus, moins de la moitié des entreprises interrogées (44%) sont équipées d'outils capables de collecter des traces et des preuves d'agressions avérées. En conséquence, seules 39% des entreprises du panel sont prêtes à entamer des poursuites judiciaires en cas d'attaque. Plus inquiétant encore, la situation n'a pas évolué depuis 2013, date du premier livre blanc du Cesin. « La criminalité sur la Toile est moins punie que dans la vie réelle », constate Alain Bouillé.

Par ailleurs, l'ouvrage critique également une maintenance insuffisante. Pour preuve, seules 14% des entreprises du panel réévaluent leurs systèmes de détection au moins une fois par semestre afin de les tenir à niveau. De plus, peu d'entreprises ont alloué des ressources pour s'y préparer. L'ouvrage co-édité avec Provadys constate que moins d'une entreprise sur trois a effectué des exercices visant à former les salariés à réagir en cas de cyberattaque. 

Ne disposant pas des ressources des grandes entreprises, les PME sont assez logiquement les plus vulnérables. D'ailleurs, elles ne sont que 63% à enquêter sur leurs systèmes d'information en cas d'anomalie, contre 95% pour les entreprises de plus de 5.000 salariés. Leur capacité à détecter les cyberattaques s'en trouve donc réduite. « Ce qui arrive aux PME, c'est qu'elles protègent tout au même niveau : les brevets vitaux ou les notes de frais du commercial »,explique Alain Bouillé, qui recommande donc aux managers de dégager leurs priorités et de les protéger en conséquence. 

Néanmoins, les auteurs du document notent une certaine prise de conscience des problématiques de la cyberprotection. Ainsi 74% des entreprises affirment-elles qu'il est important de disposer d'une organisation capable de gérer les incidents de sécurité contre 47% en 2013. « Une amélioration indéniable », se réjouit Alain Bouillé. Les capacités de détection et de réaction des entreprises se sont donc considérablement améliorées.

A présent, l'enjeu consiste à mieux inclure les utilisateurs dans les dispositifs de défense. Plus précisément, il s'agit d'aller plus loin que la simple mise en garde des salariés sur les comportements à risque. Le rapport préconise d'atteindre une nouvelle forme de défense qui intègre l’utilisateur en matière de prévention, de détection et de réaction. « Sans pour autant trop se reposer sur le salarié, rappelle Alain Bouillé. Il faudrait, par exemple, que les outils empêchent les malwares de fonctionner même si on a exécuté la pièce jointe d'un mail malveillant. » 

 

Benjamin Alcaïde