Cybersécurité : les entreprises du CAC 40 sont à la traîne

Données binaires (data, big data, chiffrement, internet, pirates cybersécurité, cyberpirates, cryptage, données, vie privée)
CC0 Public Domain
PROPOSÉ PAR
i-Lab & Nous - Actualités et analyses

Données binaires (data, big data, chiffrement, internet, pirates cybersécurité, cyberpirates, cryptage, données, vie privée)
CC0 Public Domain
Peut mieux faire. Si les entreprises du CAC 40 ont bien identifié le sujet de la cybersécurité, rares sont celles qui se saisissent du sujet à bras le corps. C'est ce qui ressort d'une étude publiée ce mardi par le cabinet Wavestone, consacrée au degré de maturité des entreprises du CAC 40 quant à la prévention des cyber-risques (voir méthodologie en bas de l'article). La bonne nouvelle ? 100% des rapports d'activité des entreprises du CAC 40 font mention des enjeux de sécurité des systèmes d'information, contre 95% en 2017 et seulement 73% en 2010.
En effet, 12,5% des entreprises du CAC 40 ne mentionnent aucun investissement spécifique sur le risque cyber. "Parfois, il se peut que des choses soient faites sur le terrain sans être mentionnées dans le rapport annuel. Mais cela reste un souci, car c'est un manque de valorisation", explique Gérôme Billois. "Les rapports sont transmis aux actionnaires. Or, ils sont de plus en plus regardants sur les sujets de cybsécurité, tout comme les agences de notation."
En parallèle, 75% des entreprises du CAC 40 ont des investissements fragmentés. "Ce sont des projets simples et unitaires, sans cohérence globale. Cela représente un coût d'environ quelques millions ou quelques centaines de milliers d'euros", chiffre Gérôme Billois. Par exemple, cela peut être la sécurisation du passage de la messagerie dans le cloud, la mise en place du chiffrement sur les ordinateurs ou encore la réalisation d'une campagne d'audit de sécurité. "Dans ce cas de figure, les entreprises sont dans un mode réactive : elles lancent une action uniquement parce qu'il se produit quelque chose", affirme l'expert en cybsécurité. À l'opposé, seulement 12,5% des entreprises du CAC 40 mentionnent des investissements conséquents, avec une logique de coordination. "Dans la moyenne observée sur le marché, ce sont des programmes supérieurs à 50 millions d'euros. Cela peut grimper entre 200 à 500 millions d'euros, voire même 800 millions d'euros pour certains grands groupes", estime Gérôme Billois.
Ce manque de passage à l'acte peut s'expliquer par un dialogue parfois rompu en interne. En effet, seulement 25% des entreprises du CAC 40 mentionnent le sujet au comité exécutif - dont 10% choisissent d'intégrer la cybersécurité dans la stratégie de l'entreprise.
Et de poursuivre : "C'est le problème de l'œuf et la poule. Parfois, le comité exécutif ouvre la porte au sujet et reçoit des réponses inintelligibles. Parfois, ce sont les équipes cyber qui essayent de se faire entendre, mais elles ne sont pas écoutées. Il y a un problème d'amorçage du sujet", conclut Gérôme Billois.
Chaque jour à 13h, l’essentiel de l’actualité tech.

La cybersécurité est donc loin d'être un reflex pour les entreprises du CAC 40 - si bien qu'elle est oubliée lors du développement d'innovations. Parmi les lancements de nouveaux projets mentionnés dans les rapports, seuls 20% d'entre eux font référence à des chantiers en lien avec la cybersécurité dans le domaine de l'IoT, alors qu'ils sont totalement absents des projets des domaines de l'IA ou de la Blockchain. Par exemple, 46% des entreprises du CAC 40 ont mentionné lancer des projets d'intelligence artificielle, mais aucune d'entres elles n'a fait le lien avec la cybersécurité.
__________
À lire également
Méthodologie : le cabinet a analysé les rapports annuels et documents de références des entreprises du CAC 40, publiés au 1er juin 2018. L'analyse se fonde uniquement sur les éléments présentés dans ces documents. Il est à noter que ceux-ci ne reflètent pas toujours l'exhaustivité des actions menées sur le terrain.