Les entreprises, associations et collectivités bretonnes ont un bon niveau minimal de sécurité mais des efforts à fournir pour être suffisamment prémunies des attaques cyber. C’est ce qui ressort, entre autres, du baromètre de la cybersécurité réalisé par Bretagne Développement Innovation, pour le compte de la Région Bretagne.
Une menace cyber plus ancrée dans les esprits
Menée du 16 mars au 19 mai 2023, l’étude a rassemblé les réponses de 269 acteurs implantés en Bretagne. Parmi eux, on compte :
- 45% de collectivités locales
- 50% d’entreprises
- 5% d’associations
Depuis plusieurs années, le nombre de cyberattaques reste toujours élevé. En 2022, malgré un chiffre en baisse, l’ANSSI recensait, dans son panorama de la cybermenace, 831 intrusions avérées. En Bretagne, 36% des acteurs déclarent avoir déjà subi un incident de sécurité. Dans 45% des cas, un rançongiciel était le mode opératoire utilisé. La fraude par ingénierie sociale arrive en deuxième position des incidents avec 26% relevés.
Ces incidents à répétition ont pour conséquence une meilleure prise en compte de la menace cyber au sein des organisations bretonnes. 77% d’entre elles considèrent que c’est un risque important pour elles voire le plus important. 52% des répondants considèrent qu’ils seraient en incapacité totale de délivrer leurs services sans un système d’information.
L’étude révèle un certain équilibre du degré de gravité de l’incident vécu. 41% des répondants le considéraient comme modéré, 35% comme mineur et 24% comme grave.
Enfin, une meilleure perception des risques et des vecteurs d’intrusion de la part des organisations est à valoriser. L’étude Wavestone parue en XXXX sur XXXX révélait que le rançongiciel était le premier risque encouru suivi de la fraude au virement et de l’erreur humaine. Un classement que l’on retrouve chez les répondants de l’enquête où le vol de données remplace la fraude.
Protection en cybersécurité
Un bon niveau minimal de mesures cyber
L’étude relève qu’au sein des organisations, le niveau de maturité sur l’hygiène informatique fondamentale (protection antivirale, protection de la messagerie, protection périmétrique) est globalement bon avec une faiblesse sur les moyens de mise à jour.
Un niveau de maturité sur les mesures avancées insuffisant
Cependant, le niveau de maturité sur les mesures cyber préventives prioritaires énoncées par l’ANSSI est insuffisant. Seulement 40% des répondants affirment avoir implémenté ces mesures. Seulement 23% ont mis en œuvre une capacité de détection managée ou 32% pour l’implémentation de l’authentification multi-facteurs. Le seul point positif est la possession de sauvegardes hors-ligne pour 73% des répondants.
Moyens et politiques de cybersécurité
Un budget cybersécurité encore faible
En moyenne, les répondants consacrent 6,5% de leur budget informatique à la cybersécurité. Une part importante des répondants déclarent ne pas avoir connaissance de leur budget cybersécurité. En tendance, le budget cybersécurité est soit stable ou soit à la hausse. Aucune baisse de budget n’est déclarée.
Une gouvernance de sécurité très peu mise en œuvre
88% des répondants déclarent qu’aucun processus de gouvernance de la sécurité n’est mis en œuvre dans leur organisation. Et quand c’est le cas, les efforts sont principalement portés sur la sécurité opérationnelle. 7% des répondants déclarent que leur organisation met en œuvre un système de management de la sécurité certifié selon le référentiel ISO 27001.
Des efforts en termes de sensibilisation
87% des répondants déclarent avoir réalisé des sessions de sensibilisation à l’attention de leurs collaborateurs et 61% des dirigeants des organisations ont été sensibilisés. 42% des répondants ont réalisé des campagnes de phishing. Paradoxalement, la sensibilisation des personnels des directions des systèmes d’informations aux bonnes pratiques n’est effective qu’au sein de 35% répondants.
Audits, formation et sensibilisation et accompagnement au cœur des besoins en cybersécurité
Les audits de sécurité informatique constituent la principale requête en termes de besoin pour les répondants avec un taux de 34%. La formation et la sensibilisation des collaborateurs est requise pour 28. Enfin, un accompagnement est demandé par 19% des organisations. Le futur CSIRT Bretagne et l’EDIH Bretagne pourront répondre à ce dernier besoin.
Un manque de ressources humaines comme principal frein aux politiques de sécurités
Pour 61% des répondants, le manque de ressources humaines dédiées aux questions de sécurité informatique constitue le principal frein à la mise en œuvre d’une politique de sécurité. Les moyens financiers (40%) et le manque de compétences au sein des équipes informatiques (29%), complètent ce triptyque. Le manque d’intérêt et des priorités autres sont très peu caractérisés parmi les répondants, démontrant ainsi une vraie prise en compte du risque cyber.
