Cybersécurité en entreprise : 10 ans d’évolution selon le CESIN

Le CESIN (Club des experts de la sécurité de l’information et du numérique) vient de publier, pour la dixième année, son enquête sur la cybersécurité, que vous menez auprès de vos adhérents. Sur cette longue période, quels sont les changements importants que vous avez pu constater ?

Première constatation : les efforts portent leurs fruits. Comme pour les entreprises de manière générale, nos membres sont la cible de cyberattaques, mais ces dernières échouent de plus en plus souvent lorsque les organisations sont correctement protégées. Autre signe encourageant, directement lié à cette tendance : les solutions utilisées pour se protéger (logiciels ou services) sont de plus en plus efficaces. Comme notre enquête l’indique, 80 % des répondants se disent satisfaits des solutions employées, ce qui était loin d’être le cas il y a 10 ans. Enfin, certains concepts autrefois perçus comme de simples « buzzwords » — comme le Zero Trust — sont désormais de véritables démarches qui permettent de réduire efficacement l’exposition des entreprises aux risques cyber.

Qu’en est-il des progrès réalisés en matière de sensibilisation des collaborateurs aux risques cyber ?

Il y a 10 ans, l’utilisateur moyen disposait, au bureau, d’un matériel informatique plus performant que celui de son domicile. Aujourd’hui, c’est souvent l’inverse. Cela signifie qu’à la maison, nous sommes désormais les responsables de notre propre environnement numérique. En somme, chaque citoyen est devenu, à titre privé, son propre directeur de la cybersécurité. La sensibilisation aux risques est donc bien plus développée qu’il y a une décennie. Paradoxalement, ceux qui ont le plus besoin d’être sensibilisés sont parfois les informaticiens eux-mêmes. Ce sont eux qui détiennent les clés de l’infrastructure informatique des entreprises, et pourtant, ils continuent trop souvent à faire preuve d’imprudence. Leur négligence est d’ailleurs à l’origine de nombreux incidents de sécurité.

Vous avez évoqué à plusieurs reprises l’attaque dite « du président », dont l’intelligence artificielle (IA) accroît l’efficacité. Pourtant, l’IA peut aussi renforcer les solutions de cybersécurité. Comment analysez-vous cette dualité ?

Cela fait déjà plusieurs années que l’IA est utilisée pour améliorer les dispositifs de cybersécurité. Un autre enjeu majeur réside dans l’IA embarquée dans les applicatifs métiers des entreprises : comment garantir leur sécurité ? À ce jour, cette question reste en grande partie sans réponse. Enfin, il y a aussi l’IA au service des cybercriminels, qui peut entraîner des conséquences dramatiques. Toutefois, il ne faut pas amplifier le problème. À ce stade, nous n’avons pas observé de nouvelles formes d’attaques induites par l’IA. Elle améliore les méthodes existantes, mais n’en crée pas de nouvelles.

Nous évoluons dans un contexte géopolitique tendu. Cela renforce-t-il la nécessité de souveraineté en matière de cybersécurité ?

S’il s’agit de la souveraineté des solutions cyber, il faut se réjouir que la France et l’Europe disposent des solutions nécessaires pour être autonomes, tant en matière de logiciels que de services.

La rédaction de BFM Business n'a pas participé à la réalisation de ce contenu en partenariat avec Scribeo. La consultation du présent article est notamment soumise aux CGU de Scribeo.