Proofpoint dévoile aujourd’hui les conclusions d’une enquête menée auprès de 150 Responsables de la Sécurité des Systèmes d’Information (RSSI) français. Le rapport met en lumière la manière dont les organisations abordent la cybersécurité dans le contexte de la pandémie et comment elles anticipent l’avenir.
91% des organisations françaises ont subi au moins une cyberattaque majeure au cours des 12 derniers mois
Dans le contexte de la pandémie et d’une pression inégalée en termes de cyberattaques, cette enquête permet d’évaluer dans quelle mesure les entreprises françaises sont impactées et préparées à faire face à de nouvelles menaces. Elle révèle notamment que si l’erreur humaine est la plus grande vulnérabilité pour 6 RSSI français sur 10, la formation des employés à la cybersécurité n’est toujours pas une priorité.
Voici les principales conclusions de l’enquête :
- Les organisations en France ne sont pas assez préparées
Les entreprises françaises semblent parfaitement conscientes des cybermenaces qui pèsent sur elles. Plus de deux tiers (65 %) des RSSI français estiment que leur entreprise risque d’être la cible d’une cyberattaque au cours des 12 prochains mois.
S’il est encourageant de constater que la majorité des décideurs en cybersécurité semblent parfaitement conscients des risques et des difficultés auxquels ils sont confrontés, leur maturité et leur posture en matière de cybersécurité est plutôt alarmante. Plus de la moitié (56 %) des RSSI français estiment que la direction de leur entreprise ne prête pas assez attention à la stratégie de cybersécurité, et seuls 14 % d’entre eux pensent que leur entreprise est prête à faire face à une cyberattaque.
- Le télétravail ajoute une pression supplémentaire
L’adoption massive du télétravail en raison de la pandémie a accentué la pression sur les équipes de cybersécurité. Chargées de défendre une surface d’attaque plus vaste et plus complexe, bon nombre d’entre elles admettent avoir des difficultés à effectuer la transition. Seulement un cinquième (20 %) des RSSI français sont pleinement convaincus que leurs collaborateurs disposent des moyens nécessaires pour travailler à distance.
Plus de la moitié (57 %) des RSSI français reconnaissent que l’adoption du télétravail les a rendus plus vulnérables aux cyberattaques. Près de deux tiers (64 %) ont constaté une augmentation du nombre de tentatives d’attaques de phishing. Plus de la moitié (53 %) reconnaissent que la transition vers le télétravail a rendu les systèmes et les applications obsolètes et peu efficaces pour protéger leur entreprise contre les cybermenaces.
- Les menaces internes augmentent
Bien que les utilisateurs constituent une dernière ligne de défense contre les cyberattaques, ils sont globalement insuffisamment sensibilisés aux bonnes pratiques en matière de cybersécurité. Les décideurs en cybersécurité français sont bien conscients de cette faille, puisque 61 % d’entre eux estiment que le facteur humain représente la principale vulnérabilité de leur entreprise.
Les comportements des collaborateurs les plus susceptibles d’entraîner une cyberattaque sont la divulgation intentionnelle de données (42 %), suivie de clics sur des liens malveillants (41 %), une mauvaise gestion des mots de passe (39 %), une mauvaise manipulation des informations sensibles (38 %), l’utilisation d’applications et de terminaux non autorisés (33 %) et l’ouverture de mails de phishing (31 %).
Conscients des risques liés au facteur humain, les RSSI français manquent en revanche de discernement pour identifier les personnes les plus ciblées au sein de leur organisation. 53 % d’entre eux avouent ignorer qui sont les collaborateurs les plus à risque au sein de leur entreprise.
- Le niveau de formation des collaborateurs est insuffisant
Malgré l’évolution rapide du paysage des menaces, la majorité (82 %) des entreprises forment leurs collaborateurs aux bonnes pratiques de cybersécurité deux fois par an ou moins souvent, tandis que 17 % d’entre elles proposent un programme complet trois fois par an ou plus. Seuls 14 % des répondants affirment avoir mis en place une formation supplémentaire sur la sécurité dans le cadre du télétravail.
En ne mettant pas en place de véritable programme de sensibilisation ou en ne les évaluant pas régulièrement, les entreprises s’exposent dangereusement. Ce sujet inquiète de nombreux RSSI en France. Près de deux tiers (63 %) estiment que leur programme de formation à la cybersécurité doit être amélioré. Malheureusement, la majorité (60 %) pense que le manque de temps et de ressources est le principal obstacle à la concrétisation de cet objectif.
- De nombreuses inquiétudes pour l’avenir
Considérant l’avenir, 51 % des RSSI français pensent que l’essor du Shadow IT lié au télétravail constituera probablement l’une des principales menaces de cybersécurité au cours des deux prochaines années, suivie par la progression de la fraude par mail, en particulier les attaques BEC.
Les défis associés à l’explosion de l’utilisation du cloud et du stockage dans le cloud (43 %), à la progression des menaces internes (41 %) et à la multiplication des attaques de ransomwares (34 %) devraient également représenter une menace permanente au cours des 12 prochains mois.
Conclusion
Quels que soient les moyens d’attaque – courrier électronique, applications cloud, web, médias sociaux – les acteurs de la menace continuent à tirer parti du facteur humain, et les utilisateurs finaux restent en première ligne dans la lutte contre les cybercriminels.
“Une stratégie de sécurité centrée sur les personnes avec un véritable programme récurrent de sensibilisation est devenu un impératif pour toutes les organisations. Les cybercriminels sont déterminés et perfectionnent constamment leurs techniques. Il faut agir avec la même rigueur pour avoir une chance de les tenir en échec. Il ne peut y avoir qu’un seul vainqueur”, a déclaré Loïc Guézo, Directeur Stratégie Cybersécurité SEMEA, Proofpoint.
Vous trouverez plus d’informations sur cette enquête en téléchargeant le rapport en ligne.
Methodologie
Commanditée par Proofpoint, l’enquête a été réalisée en octobre 2020 par le bureau d’étude Censuswide auprès de 150 RSSI français d’entreprises de plus de 200 employés, couvrant différents secteurs d’activité. L’enquête permet d’explorer la fréquence des cyberattaques, le niveau de préparation des collaborateurs et des entreprises au paysage des menaces de demain et l’impact de la généralisation du télétravail.
