Stratégie

Légère progression de la maturité cyber des entreprises

Face à la multitude de sujets en cybersécurité, le niveau de maturité des entreprises selon Wavestone progresse cette année, même s'il n'atteint que 49/100. (Crédit photo : ThedigitalArtist/Pixabay)

Wavestone a livré son étude sur la maturité des grandes entreprises en matière de cybersécurité. Par rapport à l'année dernière, la société de conseil note une progression dans plusieurs secteurs, dont l'industrie et le secteur public.

Publicité« Il y a eu des efforts et des investissements importants cette année de la part des entreprises sur la cybersécurité », souligne Gérôme Billois, associé en charge de l'activité cybersécurité de Wavestone. La société de conseil réalise chaque année une étude sur la maturité cyber des entreprises auprès de 100 clients (dont 60 sont des grands comptes situés en France et 40 localisés dans d'autres pays). Pour évaluer cette maturité, Wavestone se base sur les référentiels NIST et ISO 27001/2. En 2022, le niveau moyen de maturité était de 46 sur 100, il est maintenant de 49. Une hausse de 3 points qui n'est pas à négliger selon le consultant, car « gagner 1 à 2 points pour une entreprise peut s'avérer très complexe ».

Accélération dans l'industrie et balbutiement dans le secteur public

Bien évidemment, derrière cette maturité globale se cachent d'importantes disparités entre secteurs d'activité. La finance reste le bon élève avec un score moyen proche de 60 sur 100 (avec un pic à 88,9% pour une banque anglaise). Cependant Gérôme Billois constate que ce secteur arrive à la fin d'un cycle d'investissements. « Un autre va prochainement s'ouvrir autour de l'automatisation et de la gouvernance », observe-t-il. Sur ce dernier point, il pointe également qu'après les investissements massifs, « il faut démontrer l'efficacité du système. Il y a, par ailleurs, des réflexions sur la mutualisation des compétences du CISO, DPO, de la sûreté autour d'un rôle unique de CSO ».

Le secteur industriel a mené depuis un an une remontada en matière de cybersécurité. La maturité gagne 4,6 points pour approcher 50% (49,4 exactement). Dans le détail, l'industrie a pris conscience de ses risques spécifiques. Par exemple, le fait d'avoir une organisation dédiée à la sécurité des systèmes industriels fait un bond de 21 points, à 71 %. La filière recrute aussi, avec 1 personne dédiée à la cybersécurité pour 1 332 employés (la moyenne générale est de 1 pour 1 285). Des efforts donc, mais que Gérôme Billois relativise : « il y a un rattrapage vers la sécurité des années 2000. Il faut maintenant aller vers quelque chose de plus moderne ».

Sur un an, la maturité a progressé mais reste en dessous des 50 %. (Crédit photo : Wavestone)

En queue de peloton, le secteur public est le seul à voir son niveau de maturité baisser légèrement (-0,9 point à 36,4 %). Pourtant, l'étude montre que les investissements sont les plus importants dans cette activité (6,6 % du budget est consacré à la cyber). « Le plan cybersécurité, France Relance, les parcours cyber de l'Anssi montrent les efforts de l'Etat dans ce domaine », glisse Gérôme Billois.

PublicitéGestion des assets, des tiers et résilience inquiètent

Wavestone est entré un peu plus dans le détail concernant la mise en place de solutions de sécurité conformément aux référentiels NIST et ISO. « Il y a eu clairement un effort sur la détection et la réponse à incident pour arrêter les cyberattaques plus rapidement », note le consultant. Des bons points sont également à souligner sur la gestion des identités (IAM), la mise en place de méthodes d'authentification multifactorielle (MFA). Même la maturité autour des ransomwares progresse, avec un taux d'organisations considérées en situation critique de 23 % (contre 30 % en 2022). La sécurité du cloud constitue un axe de travail pour les sociétés sondées, avec une hausse de 8 points de la maturité à 44,5 %.

Parmi les inquiétudes, Gérôme Billois soulève des problématiques insolubles pour les entreprises, « la gestion des assets est un vrai caillou dans la chaussure des DSI et personne n'a réussi à trouver de solution globale ». Un problème qui se répercute sur la capacité à reconstruire après une attaque. « La connaissance du SI est un travail herculéen », reconnait le consultant. Il note un fossé entre la finance et les autres secteurs en termes de résilience. Le secteur financier se distingue ainsi sur la gestion des risques, les dispositifs de crise, les liens avec les tiers et les tests de PCA. « Dans une banque en particulier, la bascule vers le PCA se déroule tous les jours à midi », évoque-t-il.