Une cyberattaque, c’est quoi au juste ? Le CESIN n’en a pas la même définition d’une vague à l’autre de son baromètre de la cybersécurité des entreprises. Et cela se ressent sur certains chiffres.
Dans l’édition 2021 figurait la définition suivante :
La cyber-attaque, telle que nous l’entendons dans cette enquête, est le fait de subir un acte malveillant envers un dispositif informatique portant atteinte de manière significative à la confidentialité et/ou à l’intégrité de l’information de l’entreprise ou encore à la disponibilité du système d’information, entraînant des pertes financières significatives et/ou une atteinte à l’image de l’entreprise.
Tous ces éléments demeurent dans l’édition 2022. Mais le périmètre de la cyberattaque s’élargit aux actes malveillants qui entraînent « des efforts significatifs de défense ». Sur un autre plan, il se réduit :
Nous ne comptons pas les tentatives d’attaques qui ont été arrêtées par vos systèmes de prévention.
Sur cette base, le taux d’entreprises déclarant avoir subi au moins une cyberattaque augmente : +3 points entre les vagues 2021 et 2022, à 54 %. Mais elles sont aussi plus nombreuses à affirmer ne pas en avoir essuyé plus de trois (43 % ; +10 points). Le tout sur un échantillon plus grand : 282 membres du CESIN, contre 228 à la vague précédente.
Le phishing reste le plus fréquent des vecteurs d’attaque, même si son taux d’occurrence diminue (73 % des entreprises concernées ; -7 points). Suivent toujours l’exploitation de failles (53 %, +1 point) et l’arnaque au président (38 %, -4 points). Les tentatives de connexion (force brute notamment) sont en recul (34 %, -7 points), comme le déni de service (25 %, -6 points). Au contraire, les attaques par rebond via prestataires progressent (21 %, +5 points).
L’usurpation d’identité apparaît comme la principale conséquence des cyberattaques (32 %, +9 points). Le vol de données, qui l’était l’an dernier, recule au deuxième rang (30 %, proportion stable). Le chiffrement par ransomware (24 %, -1 point) reste troisième.
Que renforce-t-on face à la menace ? Essentiellement la sensibilisation des utilisateurs (81 %, -2 points). Le duo scan de vulnérabilités – patch management reste en bonne position (63 %, +2 points), mais le déploiement d’EDR (+16 points, à 64 %) le devance désormais. Nette progression également pour le durcissement de l’Active Directory (62 %, +9 points) et la sécurisation des backups (38 %, +10 points).
De manière générale, hors antivirus et firewall, le VPN reste la solution le plus souvent mise en œuvre (90 % des entreprises, taux stable d’une année à l’autre). Suivent toujours les proxys (81 %, -2 points) et les passerelles de sécurité mail (80 %, -3 points). Au-delà de l’élan EDR sus-évoqué, MFA (78 %, +5 points) et chiffrement (56 %, +7 points) font une percée.
Reflet de l’impact de la crise sanitaire, les entreprises sont plus nombreuses qu’il y a un an à prévoir d’augmenter leurs budgets cybersécurité (70 %, +13 points). Idem pour les effectifs (56 %, +4 points). Les intentions formulées l’an dernier semblent s’être concrétisées : ce sont désormais 8 % des répondants qui consacrent plus de 10 % de leur budget IT à la cyber (+5 points). À l’inverse, ils ne sont plus que 40 % (-12 points) à déclarer y allouer moins de 5 % dudit budget.
Quel poids pour les assurances cyber dans ces investissements ? Le CESIN ne s’exprime pas sur ce point. Il fournit toutefois quelques indicateurs. Parmi eux :
– 69 % des répondants affirment avoir souscrit une telle assurance
– Environ un souscripteur sur cinq hésite à renouveler son contrat
– Près des trois quarts des souscripteurs (73 %) n’ont pas « actionné » leur assurance
– Pour près de la moitié de ceux qui y ont eu recours, « ça a été difficile »
Illustration principale via Pixabay
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…