#LeBlog

Premier baromètre de la cybersécurité : quelle maturité pour les entreprises françaises ?

Le 08.04.2024
Infographie | 4 min

Leader français de la confiance numérique, Docaposte a profité de l’édition 2024 du Forum InCyber – qui s’est déroulée à Lille du 26 au 28 mars dernier – pour présenter la première édition du baromètre de la cybersécurité, co-réalisée avec le cabinet Cyblex Consulting. 

Ce baromètre national est né d’une volonté partagée par Docaposte et Cyblex Consulting : évaluer, année après année, l’évolution de la maturité des entreprises et des organisations publiques en termes de cybersécurité et la prise en compte de ces enjeux. L’objectif de ce baromètre est triple : apporter une meilleure compréhension des enjeux et défis auxquels sont confrontées les organisations en matière de cybersécurité, de leur niveau actuel de résilience numérique et de leur évolution vers une protection plus efficace. 

Zoom sur les grands enseignements de ce premier baromètre, issu d’une enquête réalisée auprès de plus de 500 décideurs français.

Des disparités dans la prévention et le budget alloué à la cybersécurité

Fréquentes, plus sophistiquées et plus variées, les cyberattaques peuvent avoir des conséquences désastreuses sur les organisations qui en sont victimes et pour leurs clients. Aussi, la cybersécurité doit-elle être perçue, non plus comme un champ de compétences et d’action réservé aux experts, mais comme une préoccupation majeure pour toutes les organisations, publiques et privées, quelle que soit leur taille. D’ailleurs, comme le révèle l’un des chiffres clés à retenir de cette première édition : une entreprise sur 5 a déjà fait l’objet d’une cyberattaque.

Dans le détail, les entreprises ayant été le plus souvent attaquées que les autres sont davantage les petites ETI et les grands comptes et les impacts sont variés.

Des impacts hétérogènes : le vol et la perte de données en tête

Des impacts hétérogènes

Pour autant, toutes les entreprises sont-elles parées pour faire face à une attaque ?

Pas vraiment, comme le souligne le baromètre. En première ligne, on retrouve les petites et moyennes entreprises. Parmi les freins à leur protection : des contraintes budgétaires. En effet, seulement 82 % des PME entre 20 et 49 salariés et 78 % des TPE interrogées accordent moins de 10 K€ par an au budget dédié à leur sécurité informatique.

Un tiers des entreprises sondées affirment que leur budget est en hausse

budget en hausse

On le constate donc : il existe de fortes disparités budgétaires en fonction de la taille des organisations, ce qui contribue à creuser l’écart entre les différentes organisations dans l’efficacité de la prévention des risques. Parmi ceux auxquels s’exposent les organisations et qui sont les plus redoutés, on peut citer la perte des données à 62 %, suivi de l’arrêt de la production (38 %) et de la perte financière directe (32 %).

Une perception du risque qui diffère selon la taille des entreprises et les fonctions

Pour autant, 64 % des entreprises pensent faire suffisamment d’efforts pour réduire les risques cyber. Là aussi, la taille de l’entreprise impacte cette perception puisque les répondants d’organisations de plus de 1 000 salariés pensent en faire suffisamment à 81 %, tandis que dans les entreprises plus petites, de moins de 50 salariés, le chiffre tombe à 49 %.

De manière générale, les actions concrètes mises en œuvre, permettent, selon une majorité de répondants, de diminuer le risque d’une cyberattaque. Il n’en reste pas moins que 14 % des entreprises interrogées ne savent pas si leurs mesures seront efficaces et 14 % estiment toujours que le risque est élevé voire très élevé.

Du reste, la perception du risque diffère également selon la catégorie des personnes sondées.

Ainsi, les fonctions IT sont 3 fois plus sceptiques que la moyenne sur l’efficacité des actions mises en place. De même, si les fonctions financières sont les plus confiantes, on constate que les dirigeants sont dans la moyenne avec un tiers qui doute de l’efficacité́ des actions menées. Au total, 31% des sondés se considèrent comme des cibles potentielles (avec un score plus important donc, pour les répondants issus des fonctions IT).

Quelles sont les actions concrètes mises en œuvre ?

Parmi les enseignements de ce baromètre : des actions et solutions concrètes sont mises en œuvre par les entreprises pour se prémunir des risques cyber. Dans le top 3 : 81% ont mis en place une gestion renforcée des mots de passe, 79 % s’assurent de la mise à jour des logiciels et 78 % de la sécurisation des postes de travail.

Différentes typologies de démarches sont mises en place pour réduire les riques cyber

Différentes typologies de démarches pour réduire les risques Cyber

Dans le détail, on constate, là encore, que la taille d’entreprise joue : les TPE ont moins agi que la moyenne, alors que les PME (50 à 249 salariés) font plutôt figure de bons élèves, réalisant plus d’efforts que la moyenne en la matière.

Il n’en reste pas moins – et c’est l’un des chiffres édifiants de ce baromètre national – qu’au global, 66% des sondés n’appliquent pas les pratiques permettant d’atteindre le niveau essentiel préconisé par l’ANSSI. Et pour cause, moins d’un tiers des répondants (27%) connaissent les guides de l’ANSSI*.

Une évolution à surveiller, d’autant que l’enquête nous apprend que près des deux tiers de l’échantillon pourraient basculer au niveau supérieur avec un bon accompagnement et une mise en perspective du degré d’importance des mesures à mettre en place…

* https://cyber.gouv.fr/guides-essentiels-et-bonnes-pratiques-de-cybersecurite-par-ou-commencer