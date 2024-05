Le rapport 2024 Voice of the CISO de Proofpoint révèle que plus des trois quarts des RSSI français considèrent l’erreur humaine comme le risque principal pour la sécurité de l’entreprise

mai 2024 par Proofpoint, Inc.

Proofpoint, Inc publie son rapport annuel Voice of the CISO, qui explore les principaux défis auxquels les Responsables de la Sécurité des Systèmes d’Information (RSSI) à travers le monde sont confrontés.

Le rapport 2024 souligne une tendance notoire : alors que les craintes de cyberattaques sont de nouveau à la hausse, les RSSI regagnent peu à peu confiance dans leur capacité à se défendre contre ces menaces, reflétant un changement significatif dans le paysage de la cybersécurité. En France, plus des trois quarts (80 %) des RSSI interrogés se sentent menacés par un risque de cyberattaque matérielle au cours des 12 prochains mois, un chiffre supérieur à celui de l’année précédente (74 %), mais au niveau de l’année 2022 (80 %).

Cette tendance maintient les RSSI français en état d’alerte bien que leur confiance augmente : alors qu’en 2023, 76 % des RSSI français interrogés se disaient mal préparés à faire face à la menace d’une cyberattaque ciblée, ils ne sont plus que 54 % aujourd’hui.

Talon d’Achille de la cybersécurité, 82 % des RSSI français identifient l’erreur humaine comme la principale vulnérabilité dans l’entreprise. Face à une année marquée par l’augmentation des menaces internes et des pertes de données liées aux utilisateurs, les RSSI français sont les plus nombreux (91 % contre 80 % dans le monde) à considérer que le risque humain, en particulier les collaborateurs négligents, sera une préoccupation majeure au cours des deux prochaines années. Néanmoins, les solutions alimentées par l’Intelligence Artificielle (IA) sont source d’optimisme puisqu’elles devraient permettre d’atténuer les risques liés aux utilisateurs finaux, et ainsi marquer un pivot stratégique vers une stratégie de défense basée sur la technologie.

Le rapport offre un point de vue essentiel sur l’état de la cybersécurité en interrogeant ceux qui sont à l’avant-garde de la protection des personnes et de la défense des données. Les conclusions du rapport soulignent l’importance de maintenir des mesures de cybersécurité robustes et de considérer le rôle essentiel des individus pour s’y préparer au mieux, particulièrement dans un contexte économique qui continue de peser sur les organisations. L’enquête mesure également l’évolution de l’alignement entre les responsables de la sécurité et leur conseil d’administration, et l’impact de leurs relations sur les priorités en matière de sécurité.

« Alors que notre rapport 2023 mettait en exergue les efforts entrepris par les organisations et les RSSI pour améliorer leur niveau de sécurité, la vague d’attaque centrée sur l’humain et la sophistication des tactiques employées par les cybercriminels témoignent de la fragilité des stratégies actuelles » a déclaré Patrick Joyce, résident RSSI monde chez Proofpoint. « Les résultats de cette année soulignent une évolution collective vers des défenses plus stratégiques, notamment une meilleure formation, l’adoption de nouvelles technologies et une approche adaptative aux menaces émergentes telles que l’IA générative. »

Les principales conclusions du rapport 2024 Voice of the CISO de Proofpoint pour la France sont les suivantes :

● L’erreur humaine reste en tête des principales vulnérabilités cyber, mais devrait être atténuée grâce à l’IA : 82 % des RSSI français considèrent l’erreur humaine comme la plus grande vulnérabilité cyber de leur organisation — un chiffre en augmentation par rapport à 2023 (75 %). Cependant, ils sont autant (83 %) à estimer que les employés comprennent leur rôle dans la protection de l’organisation. Un niveau de confiance plus élevé que les années précédentes qui étaient de 79 % en 2023 et 69 % en 2022. Une tendance certainement liée à la volonté de la plupart des RSSI français (89 %) de déployer l’IA pour mieux se protéger des erreurs humaines et bloquer les cybermenaces avancées qui ciblent les collaborateurs.

● Les cyberattaques inquiètent davantage de RSSI bien que mieux préparés, témoignant d’une confiance grandissante dans leurs mesures de sécurité. 80 % des RSSI interrogés se sentent menacés par un risque de cyberattaque au cours des 12 prochains mois, c’est plus qu’en 2023 (74 %), mais au niveau de 2022 (80 %). Néanmoins, ils ne sont plus que 54 % à estimer que leur organisation n’est pas préparée à faire face à une cyberattaque ciblée, une amélioration comparée aux 76 % l’année dernière, mais toujours en dessous des niveaux de 2022 (37 %).

• L’IA générative est une menace croissante. 64 % des RSSI français estiment que l’IA générative présente un risque de sécurité accru pour leur organisation. Selon eux, les systèmes les plus à risques sont : le dispositif de réseau périmétrique (55 %), ChatGPT et autres outils de GenAI (46 %) puis Microsoft 365 (39 %).

● La rotation du personnel reste une préoccupation importante. 58 % des RSSI français ont déclaré avoir dû faire face à une perte de données sensibles au cours des 12 derniers mois, et 81 % d’entre eux reconnaissent que le départ d’employés quittant l’organisation a contribué à cette perte. Malgré cela, 79 % des RSSI estiment avoir mis en place des contrôles adéquats pour protéger leurs données.

● Les programmes de prévention et de formation ne font toujours pas l’unanimité chez les RSSI français. Seuls 37 % des RSSI interrogés ont mis en place une solution de prévention à la perte de données (DLP), alors qu’ils étaient 43 % à l’avoir fait en 2023. De même, moins de la moitié (47 %) ont investi dans la formation en interne pour la protection des données, un chiffre encore faible bien qu’en légère hausse (43 % en 2023).

● Les attaques DDoS et la fraude par courrier électronique restent en tête de liste des menaces les plus importantes pour les RSSI français. Cette année les attaques DDoS repassent en tête, suivi de près par la fraude par courrier électronique (BEC Business Email Compromise) et un retour des rançongiciels comme l’une des trois principales préoccupations. Une évolution surprenante alors que l’année dernière figuraient le risque interne, et la chaîne d’approvisionnement, dans les plus grandes menaces perçues.

● Les organisations ont de plus en plus recours à la cyber-assurance. 56 % (72 % en 2023) des RSSI français pensent que leur organisation paierait pour restaurer les systèmes et empêcher la divulgation de données si elle était attaquée par un rançongiciel. Et ils comptent toujours sur l’assurance cyber pour transférer ce risque : 82 % ont déclaré qu’ils déposeraient une demande d’indemnisation auprès d’une cyber-assurance pour recouvrer les pertes subies lors de différents types d’attaques — ils étaient 73 % en 2023.

● Les RSSI et les conseils d’administration s’alignent. 83 % des RSSI français estiment être alignés avec les membres de leur conseil d’administration sur les questions de cybersécurité. Une augmentation significative comparée au 67 % qui partageaient ce point de vue l’année dernière, et au 51 % en 2022.

● Les pressions exercées sur les RSSI en France demeurent présentes. Encore plus de la moitié (54 %) des RSSI français admettent être en burn-out (en baisse comparé au 65 % l’année dernière,) et 70 % d’entre eux estiment être confrontés à des attentes professionnelles excessives, une légère baisse par rapport aux 75 % qui exprimaient ce sentiment l’an dernier. L’élargissement continu des attentes et responsabilités qui pèse sur le rôle du RSSI se fait toujours ressentir : en effet, 73 % d’entre eux s’inquiètent pour l’engagement de leur responsabilité civile et 74 % admettent ne pas vouloir rejoindre une organisation qui ne possède pas une assurance spécifique aux administrateurs et dirigeants. En outre, 68 % des RSSI français reconnaissent que le ralentissement économique actuel a entravé leur capacité à réaliser des investissements essentiels pour l’organisation — 54 % d’entre eux ont ainsi été invités à réduire leurs effectifs, retarder les remplacements et réduire les budgets consacrés à la sécurité.

« Les résultats de cette année montrent qu’un changement crucial est nécessaire si les entreprises veulent tendre vers une plus grande cyber-résilience pour que les RSSI français gagnent en confiance » commente Xavier Daspre, Directeur Technique France chez Proofpoint. « Les organisations ont compris l’importance de sensibiliser les collaborateurs et le rôle de l’offre de formation en interne. Notre rapport 2024 Voice of the CISO reflète néanmoins les difficultés constantes liées à la rotation du personnel et à la pression toujours exercée sur les ressources économiques et humaines. Il rappelle la nécessité d’un engagement continu des membres du conseil d’administration alors que la vigilance et l’adaptation seront essentielles afin d’atteindre un niveau élevé de cyber-résilience collective. »

Méthodologie

Le rapport 2024 Voice of the CISO examine les réponses d’une enquête mondiale menée auprès de plus de 1 600 RSSI d’entreprises de 1000 employés ou plus, dans divers secteurs d’activité. Au cours du premier trimestre 2024, 100 RSSI ont été interrogés sur chaque marché dans 16 pays : États — Unis, Canada, Royaume-Uni, France, Allemagne, Italie, Espagne, Suède, Pays-Bas, Émirats arabes unis, Afrique du Sud, Australie, Japon, Singapour, Corée du Sud et Brésil.