Cybersécurité : les entreprises du CAC 40 sont à la traîne

 |   |  772  mots
12,5% des entreprises du CAC 40 ne mentionnent aucun investissement spécifique sur le risque cyber.
12,5% des entreprises du CAC 40 ne mentionnent aucun investissement spécifique sur le risque cyber. (Crédits : CC0 Public Domain)
Les entreprises du CAC 40 ont pris conscience de l'importance de la cybersécurité au sein de l'entreprise. Pour autant, la grande majorité des investissements effectués ne reflètent pas de stratégie globale. Et la cybersécurité est encore oubliée lors du lancement de nouvelles innovations.

Peut mieux faire. Si les entreprises du CAC 40 ont bien identifié le sujet de la cybersécurité, rares sont celles qui se saisissent du sujet à bras le corps. C'est ce qui ressort d'une étude publiée ce mardi par le cabinet Wavestone, consacrée au degré de maturité des entreprises du CAC 40 quant à la prévention des cyber-risques (voir méthodologie en bas de l'article). La bonne nouvelle ? 100% des rapports d'activité des entreprises du CAC 40 font mention des enjeux de sécurité des systèmes d'information, contre 95% en 2017 et seulement 73% en 2010.

"Il y a une vraie progression dans la prise de conscience", commente Gérôme Billois, expert cybersécurité au sein du cabinet d'études Wavestone. "En revanche, lorsque l'on regarde comment le sujet est traité, le bilan est mitigé."

En effet, 12,5% des entreprises du CAC 40 ne mentionnent aucun investissement spécifique sur le risque cyber. "Parfois, il se peut que des choses soient faites sur le terrain sans être mentionnées dans le rapport annuel. Mais cela reste un souci, car c'est un manque de valorisation", explique Gérôme Billois. "Les rapports sont transmis aux actionnaires. Or, ils sont de plus en plus regardants sur les sujets de cybsécurité, tout comme les agences de notation."

En parallèle, 75% des entreprises du CAC 40 ont des investissements fragmentés. "Ce sont des projets simples et unitaires, sans cohérence globale. Cela représente un coût d'environ quelques millions ou quelques centaines de milliers d'euros", chiffre Gérôme Billois. Par exemple, cela peut être la sécurisation du passage de la messagerie dans le cloud, la mise en place du chiffrement sur les ordinateurs ou encore la réalisation d'une campagne d'audit de sécurité. "Dans ce cas de figure, les entreprises sont dans un mode réactive : elles lancent une action uniquement parce qu'il se produit quelque chose", affirme l'expert en cybsécurité. À l'opposé, seulement 12,5% des entreprises du CAC 40 mentionnent des investissements conséquents, avec une logique de coordination. "Dans la moyenne observée sur le marché, ce sont des programmes supérieurs à 50 millions d'euros. Cela peut grimper entre 200 à 500 millions d'euros, voire même 800 millions d'euros pour certains grands groupes", estime Gérôme Billois.

La cybersécurité, un sujet trop technique ?

Ce manque de passage à l'acte peut s'expliquer par un dialogue parfois rompu en interne. En effet, seulement 25% des entreprises du CAC 40 mentionnent le sujet au comité exécutif - dont 10% choisissent d'intégrer la cybersécurité dans la stratégie de l'entreprise.

"C'est un chiffre globalement faible, admet Gérôme Billois. La cybersécurité est vue depuis des années comme très technique, souvent limitée aux équipes en charge de la sécurité des systèmes d'information. Il y a encore un travail important de mobilisation à réaliser. Dans certains groupes du CAC 40, le comité exécutif ne veut pas être informé de ce sujet, car il n'est pas jugé important", et ce malgré l'augmentation du nombre de menaces.

Et de poursuivre : "C'est le problème de l'œuf et la poule. Parfois, le comité exécutif ouvre la porte au sujet et reçoit des réponses inintelligibles. Parfois, ce sont les équipes cyber qui essayent de se faire entendre, mais elles ne sont pas écoutées. Il y a un problème d'amorçage du sujet", conclut Gérôme Billois.

La cybersécurité oubliée pour les nouveaux projets

La cybersécurité est donc loin d'être un reflex pour les entreprises du CAC 40 - si bien qu'elle est oubliée lors du développement d'innovations. Parmi les lancements de nouveaux projets mentionnés dans les rapports, seuls 20% d'entre eux font référence à des chantiers en lien avec la cybersécurité dans le domaine de l'IoT, alors qu'ils sont totalement absents des projets des domaines de l'IA ou de la Blockchain. Par exemple, 46% des entreprises du CAC 40 ont mentionné lancer des projets d'intelligence artificielle, mais aucune d'entres elles n'a fait le lien avec la cybersécurité.

"Bien souvent, la cybersécurité arrive une fois que les premiers incidents sont apparus, constate Gérôme Billois de chez Wavestone. L'entreprise lance alors un audit, mais les plannings sont trop tendus, la technologie est déjà mise en œuvre. Et bien souvent, c'est trop tard."

__________

Méthodologie : le cabinet a analysé les rapports annuels et documents de références des entreprises du CAC 40, publiés au 1er juin 2018. L'analyse se fonde uniquement sur les éléments présentés dans ces documents. Il est à noter que ceux-ci ne reflètent pas toujours l'exhaustivité des actions menées sur le terrain.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 25/07/2018 à 9:20 :
Il n'est pas étonnant que les entreprises du CAC (et les autres d'ailleurs) n'investissent pas ou peu dans ce domaine, qui est inconnu pour 99% d'entre-elles. Il faut du personnel hyper qualifié pour établir la vision et les actions du business plan, le discuter avec MSFT ou autres et surtout retenir ce personnel (qui est très versatile dans ce domaine) pour effectuer le suivi et les actions correctrices.
Les sommes d'argent à engager sont significatives pour un résultat incertain pour ne pas écrire nul.
Cordialement
a écrit le 24/07/2018 à 17:29 :
C'est trop tard, ils sont infectés de manière irréversible par des bots qui se reproduisent et mutent. J'ai accès à n'importe quel système d"information de n'importe quelle boite.
Vous voulez savoir combien touche votre supérieur hierarchique ? demandez moi !
a écrit le 24/07/2018 à 17:26 :
Comment peut on parler de cybersécurité alors que la majorité des PC marche avec Windows un système fermé..., et dont personne ne peut accéder aux codes sources ????
Sauf bien sûr Microsoft....
Il faut se rappeler, il n'y a pas très longtemps, lorsqu'une majorité d'ordinateurs étaient paralysés par un virus....
Voir : www.lemonde.fr/international/article/2017/05/13/une-cyberattaque-massive-bloque-des-ordinateurs-dans-des-dizaines-de-pays_5127158_3210.html.
Sans compter le pillage de données !
Réponse de le 25/07/2018 à 13:33 :
C'est sûr qu'on va se marrer quand on va vouloir faire monter les gens dans des voitures totalement autonomes en circuit ouvert ...
Réponse de le 26/07/2018 à 12:37 :
Tout a fait d'accord, cette dépendance aux US ne peut plus durer, vive l'OS libre et souverain
a écrit le 24/07/2018 à 9:54 :
""Il y a une vraie progression dans la prise de conscience","

LE problème majeur du secteur financier c'est qu'ils ont une multitude de cabinet de communication qui ne font que communiquer du coup ils prennent conscience de tout c'est certaine mais ne font rien.

Ne pas oublier que les multinationales ont des chartes vertueuses de fonctionnement, toutes, mais comme elles ne sont pas contraintes de les respecter ben elles ne les respectent que peu au mieux.

Partant de là... -_-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :