Les entreprises françaises ont progressé dans leur préparation aux cyberattaques, mais l’effort global reste encore insuffisant selon un baromètre publié par Wavestone, une société de conseil en cybersécurité qui est aussi l’un des trois grands « cyber-pompiers » français.
Progression pour la cybersécurité en France
La cybersécurité représente désormais 6,1% du budget informatique des grandes entreprises et organisations françaises. C’est un chiffre qui « commence à entrer dans les fourchettes recommandées de 5 à 10% du budget informatique », note Gérome Billois, l’un des responsables de Wavestone. Mais le niveau de maturité des grandes organisations (qui mesure le niveau de respect d’une grille de préconisation) reste encore insuffisant, à 46%, souligne-t-il également.
Le niveau est plus élevé dans la finance et l’énergie (respectivement 54,4% et 51,8%), les secteurs les plus en avance dans la préparation aux cyberattaques, mais n’est que de 36,9% dans le secteur public, le moins bien préparé.
Wavestone juge également insuffisant le nombre de personnes dédiées à la cybersécurité. « On est à moins de 1 personne dédiée pour 1 500, c’est trop peu pour les enjeux actuels », selon Gerome Billois. Les écarts entre secteurs sont impressionnants : la finance arrive à un ratio de 1 employé cyber pour 300, quand le second secteur (l’énergie) compte 1 employé pour 946, et le dernier (le public) compte un employé cyber pour 2 274.
En matière de domaines couverts par les investissements cyber, les sujets les plus en difficultés aujourd’hui restent la sécurité des applications, des données, des systèmes industriels et du cloud. Sur ce dernier point, de très mauvaises pratiques sont encore en vigueur avec par exemple plus de 42% des organisations évaluées qui permettent l’accès d’administration de leur système cloud avec un simple identifiant/mot de passe.
Wavestone est l’une des trois entreprises françaises certifiées par l’Anssi (Agence nationale de la sécurité des systèmes d’information) comme « prestataire de réponse aux incidents de sécurité », c’est-à-dire les cyber-pompiers qui interviennent en urgence dans les entreprises frappées par des cyberattaques. Les deux autres sont Orange Cyberdéfense et Thales SIX GTS.
