La conformité réglementaire, le problème le plus épineux pour les entreprises qui investissent aujourd’hui en cybersécurité
L’étude met en évidence un manque de connaissances et de préparation en ce qui concerne la réglementation en matière de cybersécurité : près d’un tiers (23 %) des décideurs déclarent ainsi n’avoir jamais entendu parler de NIS 2, l’évolution réglementaire de la norme NIS publiée en 1998, et 26 % affirment ne pas connaître du tout les principes du règlement DORA. Malgré le battage médiatique de ces deux dernières années, 24 % des personnes interrogées déclarent ne connaître NIS 2 que de nom, et 26 % déclarent ne connaître que le règlement DORA pour les services financiers. Certaines réglementations plus anciennes, telles que le RGPD, semblent être maîtrisées par 48 % des décideurs, mais d’autres réglementations cyber-européennes clés, telles que le Cybersecurity Act et l’AI Act, sont connues par moins d’un tiers des personnes interrogées.

La compréhension de ces réglementations par les chefs d’entreprise est pourtant un facteur important dans leur capacité d’anticipation et de préparation à la mise en conformité : 34% déclarent être assez familiers avec le règlement NIS 2 et 32% avec DORA. Bien que les calendriers présentés par les régulateurs annoncent que NIS 2 entrera en vigueur en octobre 2024, seules 24% des entreprises se déclarent réellement prêtes, et moins de la moitié (45%) d’entre elles investissent actuellement pour se mettre en conformité. 24% des répondants déclarent maintenant que des projets d’investissement doivent démarrer, sans qu’aucun calendrier ne soit mentionné. Des chiffres qui font écho au niveau de connaissance général. En revanche, il est surprenant de constater que 27% des entreprises sont déjà prêtes à se mettre en conformité avec l’AI Act, entrée en vigueur cet été, alors que 22% des entreprises ne considèrent pas cette question comme prioritaire.

Pour comprendre les raisons de ce « retard », il est intéressant de se pencher sur les freins principaux mentionnés par les répondants : dans le cas de NIS 2, cela s’explique par une méconnaissance des questions réglementaires dans 33% des cas, combinée à un manque de ressources humaines dans 33% des cas, rappelant l’urgence de la pénurie de talents auquel le secteur fait face.

Une tendance d’investissement stagnante voire en baisse, malgré une sophistication grandissante des attaques
Selon l’étude, les entreprises françaises investissent en moyenne 38 % de leur budget informatique annuel dans les ressources de sécurité. De manière surprenante, ce sont les PME et ETI qui investissent le plus dans leur sécurité (+5 points dans le segment 250-499 salariés par rapport au segment 3 000-9 999 salariés), représentant entre 41% et 60% du budget annuel total. Si l’on compare par secteur d’activité, 39 % des entreprises du secteur public investissent moins de 20 % de leur budget annuel, contre 15 % dans le secteur des nouvelles technologies et 19 % dans le secteur des services financiers.
Par comparaison avec cette “stagnation de l’investissement”, les cybercriminels deviennent de plus en plus sophistiqués dans leurs campagnes d’attaques - selon l’Analyse des menaces 2023 de l’ANSSI, les ransomwares, cités comme principale menace par 30 % des répondants, deviennent de plus en plus difficiles à détecter, en particulier par les « solutions de protection standard » telles que les pare-feux, qui restent le premier choix pour près d’un quart (24 %) des personnes interrogées. Les attaques par le biais de fournisseurs tiers, qui ne requérant pas de développement de malwares et sont largement utilisées pour les ransomwares, représentent 70 % des méthodes actuelles selon les rapports de Crowdstrike.
Cependant, si nous revenons sur le point de la réglementation, et en particulier sur NIS 2, la préparation aux attaques est tout aussi importante (et presque même davantage) que la réaction à celles-ci. Sur la base des principes du Zero Trust, la protection proactive devrait prendre les devants.

« Le marché français a clairement besoin d’un changement d’état d’esprit et d’éducation pour passer d’un mode uniquement réactif à une grande proactivité. Qu’il s’agisse de NIS2, de DORA, de l’AI Act ou de toute autre réglementation à venir, les entreprises doivent mettre en place les processus nécessaires pour trouver l’équilibre entre la protection des données de leurs clients contre les cybermenaces et le respect de la réglementation. C’est le rôle de chaque cyber expert et chef d’entreprise de renforcer cette notion de travail préliminaire mais si nécessaire, voire obligatoire, en investissant et en formant leur personnel aux dernières normes réglementaires et aux principes du Zero Trust, incluant entres autres la connaissance de vos données, la sécurisation de leur accès et le test de votre défense comme base minimale. Les entreprises ne peuvent plus faire l’autruche, il doit y avoir un mélange d’initiatives publiques et privées pour aider les entreprises à relever ces défis et à protéger les données des consommateurs », commente Xavier Mathis, directeur de la stratégie chez Okta France.

Une connaissance moins mature de l’IAM malgré la crainte des attaques pilotées par l’IA.
Selon l’étude, 61% des décideurs français se disent inquiets de l’impact de l’IA sur leur capacité à se protéger contre les menaces. Si l’IA peut être utilisée pour un large éventail d’attaques, elle est aussi largement exploitée pour des campagnes de phishing visant à récupérer des identifiants d’accès, mener des campagnes d’attaques de botnet (pour des attaques perturbatrices telles que le DDoS ou pour corrompre les accès à l’infrastructure) et un certain nombre d’autres techniques d’ingénierie sociale. À la lumière de ces résultats, moins de 3 chefs d’entreprise français sur 10 (28 %) se considèrent matures en matière de gestion des identités et des accès. Une forme de maturité est en revanche plébiscitée par 58% des répondants. Mais comment interpréter l’expression « une forme de maturité » ?
Sur ce point, Xavier Mathis ajoute : « Compte tenu de la méconnaissance de la cyber-réglementation et des critères à remplir, on peut penser que le sujet de l’IAM n’est pas complètement maîtrisé. L’état de maturité en France, bien qu’il ait considérablement augmenté au cours des 5 dernières années, reste principalement attaché à l’identification des menaces et non aux moyens de les combattre correctement. Les investissements stagnent, voire diminuent dans certains segments, malgré l’augmentation des attaques et des nouvelles approches développées par un nombre croissant de cybercriminels. Il est urgent de revoir les stratégies de cybersécurité sur la base de ces évolutions et de faire un pas en avant vers une approche plus globale au lieu d’essayer d’arrêter la propagation de l’incendie plutôt que l’incendie lui-même ».

Méthodologie de l’étude
Cette étude a été réalisée à l’aide de questionnaires en ligne sur des bases de données qualifiées via la plateforme IPSOS Digital entre le 16 et le 18 septembre 2024. L’échantillon de 500 répondants, respectant la diversité des genres et basés sur l’ensemble du territoire français, a répondu aux 12 questions incluses dans cette étude.