Les cyberattaques frappent de plein fouet les entreprises Françaises, et seule une fraction d'entre elles est prête à s'en défendre, selon la nouvelle étude de Keeper Security
Alors que la cybersécurité est désormais reconnue comme une priorité absolue pour les entreprises en France, le rapport Keeper Security montre un manque d’anticipation des entreprises Françaises.
Garder une longueur d'avance sur les hackers est un défi permanent et les entreprises ne suivent pas toujours le rythme. Le nouveau rapport 2022 Cybersecurity Census Report de Keeper Security révèle que les entreprises subissent de graves dommages organisationnels, financiers et réputationnel. Pourtant, bien que les responsables informatiques s'attendent à ce que cet assaut s'intensifie au cours de l'année prochaine, la préparation fait défaut. En France, seuls 42% des responsables informatiques et des chefs d'entreprise estiment que leur organisation est prête à se défendre contre les cyberattaques.
En partenariat avec Sapio Research, Keeper Security a analysé les comportements et les attitudes de 514 décideurs informatiques en France pour fournir aux dirigeants une évaluation des menaces auxquelles leurs entreprises sont confrontées et détaille les stratégies urgentes nécessaires pour les surmonter.
Les cyberattaques représentent une menace croissante
Les entreprises françaises sont confrontées à une recrudescence des cyberattaques, avec un impact significatif sur leurs activités. En moyenne, une entreprise française subit 48 cyberattaques par an. Un cinquième d'entre elles (20%) subit plus de 251 attaques par an et 12% sont frappées par plus de 500 attaques par an ! Parmi celles-ci, les entreprises sont confrontées à une moyenne d'environ deux cyberattaques réussies chaque année. La grande majorité des personnes interrogées (83%) s'accordent à dire que le nombre total d'attaques va augmenter au cours de l'année prochaine, et près de la moitié s'attendent à ce que le nombre de cyberattaques réussies augmente également. Pour comparer ces chiffres avec d'autres régions d'Europe et du monde, les entreprises britanniques subissent en moyenne 44 cyberattaques, les entreprises allemandes 49 et les entreprises américaines 42 par an. En outre, un fait particulièrement inquiétant est que 47% des responsables informatiques en France ont eu connaissance d'une cyberattaque mais l'ont gardée pour eux.
Les cyberattaques causent des dommages importants aux entreprises
Les cyberattaques réussies peuvent paralyser les entreprises de toutes tailles. Au moins 40% des personnes interrogées considèrent que leur entreprise est très bien préparée à s'en défendre. En France, environ un tiers (32%) des victimes d'une cyberattaque signalent une perturbation de leur activité, telle que la capacité à mener des opérations commerciales, contre 31% en Allemagne, 35% au Royaume-Uni et 23% aux États-Unis.
Les cyberattaques réussies ont le potentiel d'endommager sérieusement les entreprises. Près d'un tiers des entreprises françaises (32%) ont vu leurs activités commerciales perturbées par une cyberattaque réussie, 31% ont vu les activités de leurs partenaires/clients interrompues et 30% se sont fait voler des informations sur leur entreprise. Le coût financier des cyberattaques est également important. Parmi les entreprises françaises qui se sont fait voler de l'argent à la suite d'une cyberattaque, le montant moyen était supérieur à 32 000€ et 20% des organisations ont perdu au moins 100 000€ par incident.
Des investissements sont nécessaires
Les lacunes en matière d'investissement dans la cybersécurité exposent les organisations aux menaces. La visibilité des utilisateurs, la gestion des mots de passe et la sécurité des identités et des accès sont essentielles, quelle que soit la taille ou le secteur d'activité. Cependant, ces mesures de sécurité élémentaires ne sont pas respectées.
Les responsables informatiques ont du mal à suivre l'évolution rapide du monde dans lequel nous vivons et l'impact de cette évolution sur leur sécurité. Presque toutes les personnes interrogées (94%) sont préoccupées par les dangers des informations d'identification codées en dur dans le code source, mais 38% n'ont pas de logiciel en place pour les supprimer. En outre, 42% ne disposent pas d'une plateforme de gestion des secrets informatiques, tels que les clés API, les mots de passe des bases de données et les informations d'identification privilégiées. Et 38% ne disposent pas d'une solution de gestion des connexions à distance pour sécuriser l'accès à distance à l'infrastructure informatique.
« Le paysage de la cybersécurité est complexe, avec des risques en constante évolution et des priorités changeantes à gérer. Cependant, l'étude montre que les organisations pourraient et devraient faire plus », a déclaré Darren Guccione, CEO et cofondateur de Keeper Security. « Alors que de nombreuses organisations envisagent des investissements futurs, elles risquent d'être dépassées par les menaces externes croissantes et les demandes créées par les faiblesses existantes. »
La sécurité de l'identité fait défaut
Parmi les actions que les entreprises devraient envisager, les mots de passe et la gestion des accès sont des domaines particuliers qui nécessitent des investissements urgents. Plus de la moitié des répondants (53%) fournissent aux employés des conseils et des bonnes pratiques en matière de mots de passe, mais sans outils de visibilité, la conformité est impossible - et seulement 18% des répondants ont mis en place un cadre très sophistiqué pour la visibilité et le contrôle de la sécurité des identités. Près d'un tiers des entreprises (29%) permettent aux employés de définir et de gérer leurs propres mots de passe, et admettent que les employés partagent souvent l'accès aux mots de passe. Les responsables informatiques sont conscients des lacunes de sécurité de leur organisation en matière de gestion des mots de passe et des secrets d'infrastructure, et 38 % ont déclaré qu'ils prévoyaient d'investir dans des solutions de gestion des mots de passe au cours de l'année prochaine.
« La sécurité des mots de passe et des identifiants fait l'objet de discussions depuis des décennies et il existe sur le marché de bonnes solutions, solides et faciles à utiliser. Il est décevant de constater que les entreprises sont encore si peu attentives à la saisie de leurs réseaux, a déclaré Arnaud De Backer, Cybersecurity Evangelist chez Keeper Security. « Au moins la moitié des entreprises en France, en Allemagne, au Royaume-Uni et aux États-Unis donnent des conseils à leurs employés sur les mots de passe et la gestion des accès, mais beaucoup ne veillent pas à ce que ces conseils soient suivis. Cela représente un risque totalement inutile et très élevé. »