Le manque de ressources financières et humaines en matière de cybersécurité fait des dégâts, explique une étude de Wavestone.
2021 a été une année de rupture pour les ransomwares, qui ont fait des ravages chez les particuliers et les organisations du monde entier. Dans leur portefeuille, plus de 602 millions de dollars ont été versés l'année dernière. Pour rappel, les ransomwares paralysent l'accès à certaines données d'entreprises et exigent une rançon en échange de leur déblocage. L'étude Cyber Benchmark de la société de conseil Wavestone démontre qu'aujourd'hui, 30 % des organisations françaises sont vulnérables face aux ransomwares. La raison ? Le manque d'investissements dans des outils et logiciels de sécurité.
Des secteurs à haut risque
L'industrie est un secteur particulièrement en risque : malheureusement, son niveau de maturité cyber n'est que de 44,8 %. Le secteur de l'énergie s'en tire à peine avec un taux de 51,8 %, suivi de près par le secteur des services (42,5%) puis des services publics (36,9 %). En haut du podium, la finance se démarque avec un score de 54,4 %.
Une hétérogénéité parmi ces secteurs qui est encouragée par des réglementations en matière de sécurité des infrastructures, notamment avec la directive NIS. Pour faire simple, cette directive européenne inspirée de la loi de programmation militaire, invite au respect de mesures de sécurité sur quatre grands axes : la gouvernance, la défense et la protection des réseaux et systèmes d’information, mais aussi la résilience des activités des entités publiques ou privées.
Mais pourquoi protéger ces entités plus que d'autres ? La réponse est simple : celles-ci, aussi appelées Opérateurs de Services Essentiels, sont tributaires des réseaux et systèmes informatiques dont l'arrêt aurait un impact conséquent sur le fonctionnement de l'économie ou la société. Les entreprises soumises à la directive NIS tirent leur épingle du jeu avec un score de niveau de maturité cyber de 55,4 %, comparé à un score de 43,3 % pour celles qui ne le sont pas.
Un danger grandissant et des budgets insuffisants
Alors, qu'est-ce qui motive ces rançongiciels ? En France, selon Wavestone, en 2021, 75 % des motivations des hackers derrière les ransomwares restent d'ordre financier. Pourtant, comparé à l'année 2020, une baisse significative du paiement des rançons a été observée : elle passe de 20 % à 5 % en 2021. Au-delà du blocage des données, les ransomwares ajoutent une nouvelle corde à leurs méfaits : combiner un vol de données à la paralysie du système informatique. En effet, toujours selon Wavestone, en 2021, 30 % des attaques ransomwares observées sévissent en toile de fond, une technique qui leur permet de se constituer un levier supplémentaire de gains financiers.
Face à cela, les entreprises sont démunies : en France, les entreprises consacreraient en moyenne 6,1 % de leur budget informatique à la cybersécurité. Un chiffre extrêmement bas à l'heure où le cyberespace est à son seuil d'alerte maximal. De son côté, le secteur industriel français y consacre 7 %, les services publics 6,6 %, la finance 5,8 % et enfin l’énergie 5,5 %.
Pour donner un ordre d'idée, une entreprise américaine investit en moyenne 20 % de son budget à la gestion des vulnérabilités cyber et à la cybersurveillance, rapporte ce rapport du cabinet de conseil Gartner. Malgré cela, dans une enquête du télécom américain AT&T, 60 % des personnes interrogées pensent que les dépenses en cybersécurité de leur entreprise sont sous-financées.
Participer à la conversation