Proofpoint, sécialiste dans les domaines de la cybersécurité et de la conformité, publie aujourd’hui les résultats de son enquête annuelle Voice of the CISO, menée auprès de plus de 1 600 RSSI (dont 100 en France) de grandes et moyennes entreprises et divers secteurs, dans 16 pays (États-Unis, Canada, Royaume-Uni, France, Allemagne, Italie, Espagne, Suède, Pays-Bas, Émirats Arabes Unis, Afrique du Sud, Australie, Japon, Singapour, Corée du Sud et Brésil).
- 74 % des responsables français de la sécurité ont déclaré avoir connu une perte matérielle de données sensibles au cours des 12 derniers mois ;
- Parmi eux, 88 % ont reconnu que les employés quittant l’organisation avaient contribué à cette perte.
Analyse pour la France :
Si le rapport 2022 révélait une communauté de RSSI confiante au sortir de la pandémie, la menace en 2023 s’est intensifiée, avec de nouvelles formes de cyberattaques et une augmentation des acteurs étatiques, imposant un climat de plus en plus pesant pour les RSSI du monde entier et notamment français. Chiffres à l’appui : en 2022, alors que 68 % des RSSI français interrogés considéraient la menace d’une attaque cyber comme imminente, ils sont aujourd’hui 74 % à faire ce constat.
En France, les évènements de 2022 ont sans doute joué sur le sentiment des RSSI, et pour preuve, l’inquiétude quant aux niveaux de préparation de l’entreprise pour faire face à une attaque ciblée a augmenté : 76 % des RSSI français ne se sentent pas prêts à affronter une cyberattaque de grande ampleur – ils étaient 37 % dans ce cas l’année dernière.
Xavier Daspre, Directeur Technique chez Proofpoint, indique que dans le rapport précédent, « nous nous inquiétions du niveau de confiance des RSSI au sortir des vagues de confinements et du passage au travail hybride, ce dernier semblait alors sous contrôle. Face aux tensions géopolitiques et à la montée de la menace cyber qui en émane, Proofpoint alertait la communauté des RSSI sur les risques à venir. En France, la vague de cyberattaques sur les infrastructures critiques et vitales, comme les hôpitaux, a démontré à quel point ce risque était réel et préjudiciable. Les RSSI semblent avoir saisi l’ampleur de cette menace, et réalisent maintenant que leur organisation n’est pas suffisamment préparée pour y faire face. »
Conséquence de ce changement de dynamique, la mission des RSSI s’est intensifiée, et le retour d’une réalité anxiogène les met à rude épreuve, si bien que 65 % d’entre eux déclarent avoir été victimes d’un épuisement professionnel (ou « burnout ») au cours des 12 derniers mois.
Le risque interne :
Alors que l’industrie connait un fort taux de turnover, 88 % des RSSI français (82 % au niveau mondial) affirment que le départ d’employés a entraîné une perte de données souvent sensibles, dont 74 % au cours des 12 derniers mois (contre 63 % à l’échelle globale).
Hormis cela, l’erreur humaine demeure selon les RSSI interrogés, la plus grande vulnérabilité des organisations, même s’ils sont de plus en plus sûrs que leurs employés comprennent le rôle qu’ils ont à jouer dans la protection de l’organisation. Par ailleurs, 70 % des RSSI français (60 % dans le monde) estiment avoir mis en place des contrôles adéquats pour protéger leurs données.
« Ces résultats montrent que les efforts ne doivent pas cesser pour les RSSI, qui ont déjà tant travaillé pour surmonter les changements liés à la pandémie et à la nouvelle organisation du travail à distance. Avec des moyens toujours plus limités, ils doivent maintenant faire plus avec moins. Cela va obliger les RSSI à repenser leur organisation et automatiser les tâches qui peuvent l’être pour préserver leur santé mentale et celle de leur équipe » conclut Xavier Daspre.
Les résultats révèlent que la plupart des RSSI sont revenus à un état d’esprit proche de celui qu’ils avaient au début de la pandémie. Soixante-quatorze pour cent des RSSI interrogés se sentent menacés par une cyberattaque matérielle. Les données de cette année sont en effet plus alarmantes comparées à celles de 2021, où 68 % des RSSI estimaient qu’une attaque matérielle était imminente.
De même, les sentiments concernant les niveaux de préparation se sont inversés : 76 % des RSSI français interrogés ne se sentent pas prêts à faire face à une cyberattaque ciblée, une nette augmentation par rapport aux 37 % de l’année dernière, et un retour aux niveaux de 2021 (78 %).
Bien que les organisations aient largement réussi à surmonter les perturbations des deux dernières années, les effets de la grande démission et de la rotation du personnel persistent aussi. Exacerbés par la récente vague de licenciements massifs, 88 % des RSSI français (82 % au niveau global) affirment que le départ d’employés a entraîné une perte de données. Paradoxalement, bien qu’en France 74 % des responsables de la sécurité (63 % au niveau mondial) aient dû faire face à la perte d’informations sensibles au cours des 12 derniers mois, 70 % d’entre eux (contre 60 % dans le monde) estiment avoir mis en place des mesures de protection des données adéquates.
À propos du rapport
Le rapport 2023 Voice of the CISO de Proofpoint examine les réponses d’une enquête mondiale menée auprès de plus de 1 600 RSSI de grandes et moyennes entreprises, dans divers secteurs d’activité. Au cours du premier trimestre 2023, 100 RSSI ont été interrogés sur chaque marché dans 16 pays : États-Unis, Canada, Royaume-Uni, France, Allemagne, Italie, Espagne, Suède, Pays-Bas, Émirats arabes unis, Afrique du Sud, Australie, Japon, Singapour, Corée du Sud et Brésil.
Le rapport examine les tendances mondiales et les différences régionales autour de trois thèmes centraux : le risque de menace et les types de cyberattaques contre lesquelles les RSSI luttent quotidiennement, et les niveaux de préparation des employés et des entreprises pour y faire face, en particulier dans un contexte de ralentissement économique qui pèse sur les budgets consacrés à la sécurité. L’enquête mesure également l’évolution de l’alignement entre les responsables de la sécurité et leur conseil d’administration, et l’impact de leurs relations sur les priorités en matière de sécurité.
« Dans notre analyse 2022, nous nous inquiétions du niveau de confiance des RSSI au sortir des vagues de confinements et du passage au travail hybride, ce dernier semblait alors sous contrôle. Face aux tensions géopolitiques et à la montée de la menace cyber qui en émane, Proofpoint alertait la communauté des RSSI sur les risques à venir. En France, la vague de cyberattaques sur les infrastructures critiques et vitales, comme les hôpitaux, a démontré à quel point ce risque était réel et préjudiciable. Les RSSI semblent avoir saisi l’ampleur de cette menace, et réalisent maintenant que leur organisation n’est pas suffisamment préparée pour y faire face. » a déclaré Xavier Daspre, Directeur Technique chez Proofpoint. « Ces résultats montrent que les efforts ne doivent pas cesser pour les RSSI, qui ont déjà tant travaillé pour surmonter les changements liés à la pandémie et à la nouvelle organisation du travail à distance. Avec des moyens toujours plus limités, ils doivent maintenant faire plus avec moins. Cela va obliger les RSSI à repenser leur organisation et automatiser les tâches qui peuvent l’être pour préserver leur santé mentale et celle de leur équipe. »
Les principales conclusions du rapport 2023 Voice of the CISO de Proofpoint pour la France sont les suivantes :
- Les RSSI français ont à peu près le même niveau d’inquiétude que durant la pandémie, et ils se sentent bien moins préparés à faire face à la menace : 74 % des RSSI français estiment qu’ils risquent de subir une cyberattaque matérielle au cours des 12 prochains mois, contre 68 % en 2021. Cependant, 76 % estiment que leur organisation n’est pas préparée à faire face à une cyberattaque ciblée, contre 37 % l’an dernier et 78 % en 2021.
- La perte de données sensibles est amplifiée par la rotation du personnel : 74 % des responsables français de la sécurité ont déclaré avoir dû faire face à une perte de données sensibles au cours des 12 derniers mois, et 88 % d’entre eux reconnaissent que le départ d’employés a contribué à cette perte. Malgré cela, 70 % des RSSI français estiment avoir mis en place des contrôles adéquats pour protéger leurs données.
- La fraude par courrier électronique reste en tête de liste des menaces les plus importantes : la principale menace perçue par les RSSI français, la fraude par courrier électronique (BEC Business Email Compromise), reste la même que l’année dernière. Cette année, cependant, elle est suivie par les menaces venant de l’intérieur de l’entreprise et les attaques de la chaîne d’approvisionnement de l’organisation. L’année dernière, les principales préoccupations étaient les attaques DDoS et les ransomwares.
- La plupart des organisations sont susceptibles de payer une rançon si elles sont touchées par un ransomware : 72 % des RSSI français pensent que leur organisation paierait pour restaurer les systèmes et empêcher la divulgation de données si elle était attaquée par un ransomware. Et ils comptent sur l’assurance cyber pour transférer ce risque : 73 % ont déclaré qu’ils déposeraient une demande d’indemnisation auprès d’une cyber-assurance pour recouvrer les pertes subies lors de différents types d’attaques.
- Le risque lié à la chaîne d’approvisionnement reste une priorité : 77 % des RSSI français déclarent avoir mis en place des contrôles adéquats pour atténuer le risque lié à leur chaîne d’approvisionnement, ce qui représente une légère augmentation par rapport aux 72 % de l’année dernière. Si ces protections peuvent sembler suffisantes pour l’instant, les RSSI risquent de se sentir limités dans leurs ressources — 65 % d’entre eux déclarent que l’économie fluctuante a eu un impact négatif sur leur budget de cybersécurité.
- Le risque humain est une préoccupation croissante : il y a une augmentation du nombre de RSSI français qui considèrent l’erreur humaine comme la plus grande vulnérabilité cyber de leur organisation — 75 % sont de cet avis dans l’enquête de cette année contre 61 % en 2022 et 56 % en 2021. D’un autre côté, les RSSI sont de plus en plus convaincus que leurs employés comprennent leur rôle dans la protection de l’organisation, 79 % d’entre eux étant de cet avis cette année, par rapport aux 69 % de l’année précédente. Ces chiffres illustrent les efforts mis en œuvre pour mettre en place une solide culture de la sécurité.
- Les RSSI et les conseils d’administration sont légèrement plus en phase : 67 % des RSSI français estiment être alignés avec les membres de leur conseil d’administration sur les questions de cybersécurité. Il s’agit d’une légère augmentation comparée aux 64 % qui partageaient ce point de vue l’année dernière, et aux 63 % qui étaient de cet avis en 2021.
- Les pressions croissantes exercées sur les RSSI rendent leur travail de plus en plus difficile : 75 % des RSSI français estiment être confrontés à des attentes professionnelles excessives, une augmentation significative par rapport aux 51 % qui exprimaient ce sentiment l’an dernier. Si le retour d’une réalité anxiogène peut être l’une des raisons de cette opinion, l’élargissement continu du rôle de RSSI y contribue probablement aussi — en effet, 81 % d’entre eux s’inquiètent pour l’engagement de leur responsabilité civile, et 65 % déclarent avoir été victimes de burnout au cours des 12 derniers mois.
« De nombreux RSSI ne ressentent plus ce sentiment de sérénité qu’ils ont pu brièvement éprouver l’an dernier après avoir traversé le chaos provoqué par la pandémie. De retour au “business as usual”, ils se sont moins assurés des capacités de leur organisation à se défendre contre les cyber-risques », commente Andrew Rose, RSSI pour la région EMEA chez Proofpoint. « Notre rapport 2023 Voice of the CISO révèle qu’au milieu des difficultés croissantes liées à la protection de leur personnel et à la défense des données, les RSSI sont mis à l’épreuve avec des attentes plus élevées, l’épuisement professionnel et l’incertitude quant à leur responsabilité civile. L’amélioration des relations entre les responsables de la sécurité et les membres du conseil d’administration nous donne cependant de l’espoir, et ce partenariat permettra aux organisations de surmonter les nouveaux défis auxquels elles sont confrontées cette année et au-delà. »