Peut mieux faire. Si les entreprises du CAC 40 ont bien identifié le sujet de la cybersécurité, rares sont celles qui se saisissent du sujet à bras le corps. C'est ce qui ressort d'une étude publiée ce mardi par le cabinet Wavestone, consacrée au degré de maturité des entreprises du CAC 40 quant à la prévention des cyber-risques (voir méthodologie en bas de l'article). La bonne nouvelle ? 100% des rapports d'activité des entreprises du CAC 40 font mention des enjeux de sécurité des systèmes d'information, contre 95% en 2017 et seulement 73% en 2010.
"Il y a une vraie progression dans la prise de conscience", commente Gérôme Billois, expert cybersécurité au sein du cabinet d'études Wavestone. "En revanche, lorsque l'on regarde comment le sujet est traité, le bilan est mitigé."
En effet, 12,5% des entreprises du CAC 40 ne mentionnent aucun investissement spécifique sur le risque cyber. "Parfois, il se peut que des choses soient faites sur le terrain sans être mentionnées dans le rapport annuel. Mais cela reste un souci, car c'est un manque de valorisation", explique Gérôme Billois. "Les rapports sont transmis aux actionnaires. Or, ils sont de plus en plus regardants sur les sujets de cybsécurité, tout comme les agences de notation."
En parallèle, 75% des entreprises du CAC 40 ont des investissements fragmentés. "Ce sont des projets simples et unitaires, sans cohérence globale. Cela représente un coût d'environ quelques millions ou quelques centaines de milliers d'euros", chiffre Gérôme Billois. Par exemple, cela peut être la sécurisation du passage de la messagerie dans le cloud, la mise en place du chiffrement sur les ordinateurs ou encore la réalisation d'une campagne d'audit de sécurité. "Dans ce cas de figure, les entreprises sont dans un mode réactive : elles lancent une action uniquement parce qu'il se produit quelque chose", affirme l'expert en cybsécurité. À l'opposé, seulement 12,5% des entreprises du CAC 40 mentionnent des investissements conséquents, avec une logique de coordination. "Dans la moyenne observée sur le marché, ce sont des programmes supérieurs à 50 millions d'euros. Cela peut grimper entre 200 à 500 millions d'euros, voire même 800 millions d'euros pour certains grands groupes", estime Gérôme Billois.
La cybersécurité, un sujet trop technique ?
Ce manque de passage à l'acte peut s'expliquer par un dialogue parfois rompu en interne. En effet, seulement 25% des entreprises du CAC 40 mentionnent le sujet au comité exécutif - dont 10% choisissent d'intégrer la cybersécurité dans la stratégie de l'entreprise.
"C'est un chiffre globalement faible, admet Gérôme Billois. La cybersécurité est vue depuis des années comme très technique, souvent limitée aux équipes en charge de la sécurité des systèmes d'information. Il y a encore un travail important de mobilisation à réaliser. Dans certains groupes du CAC 40, le comité exécutif ne veut pas être informé de ce sujet, car il n'est pas jugé important", et ce malgré l'augmentation du nombre de menaces.
Et de poursuivre : "C'est le problème de l'œuf et la poule. Parfois, le comité exécutif ouvre la porte au sujet et reçoit des réponses inintelligibles. Parfois, ce sont les équipes cyber qui essayent de se faire entendre, mais elles ne sont pas écoutées. Il y a un problème d'amorçage du sujet", conclut Gérôme Billois.
La cybersécurité oubliée pour les nouveaux projets
La cybersécurité est donc loin d'être un reflex pour les entreprises du CAC 40 - si bien qu'elle est oubliée lors du développement d'innovations. Parmi les lancements de nouveaux projets mentionnés dans les rapports, seuls 20% d'entre eux font référence à des chantiers en lien avec la cybersécurité dans le domaine de l'IoT, alors qu'ils sont totalement absents des projets des domaines de l'IA ou de la Blockchain. Par exemple, 46% des entreprises du CAC 40 ont mentionné lancer des projets d'intelligence artificielle, mais aucune d'entres elles n'a fait le lien avec la cybersécurité.
"Bien souvent, la cybersécurité arrive une fois que les premiers incidents sont apparus, constate Gérôme Billois de chez Wavestone. L'entreprise lance alors un audit, mais les plannings sont trop tendus, la technologie est déjà mise en œuvre. Et bien souvent, c'est trop tard."
__________
Méthodologie : le cabinet a analysé les rapports annuels et documents de références des entreprises du CAC 40, publiés au 1er juin 2018. L'analyse se fonde uniquement sur les éléments présentés dans ces documents. Il est à noter que ceux-ci ne reflètent pas toujours l'exhaustivité des actions menées sur le terrain.
Economie de guerre : Nexter se dit capable de fabriquer 12 canons Caesar par mois
Sujets les + commentés