Panorama de la maturité cyber des entreprises françaises

La régulation donne le cap des grandes entreprises, mais PME et TPE peinent à transformer les politiques de sécurité en pratiques concrètes. « Les grandes entreprises affichent des pratiques robustes, mais le défi des prochaines années sera d’élever les milliers de PME et d’ETI au même niveau. C’est la condition pour que la cybersécurité progresse à l’échelle du pays », souligne Thibault Lapédagne, VP Research de CyberVadis.

Alors quels sont les enseignements à retenir de ce panorama ? « L’étude CyberVadis apporte une vision factuelle et vérifiée. Elle constitue un outil unique pour éclairer les décideurs, mettre en évidence les priorités d’action et porter un plaidoyer collectif en faveur d’un renforcement de la cybersécurité en France. » précise Alain Bouillé, délégué général du CESIN.

Maturité cyber & Cadre interne et réglementaire

Premier enseignement : les organisations « Essentielles » ont une maturité supérieure (score moyen : 817, contre 652 pour les entreprises hors de ce périmètre).

Les grandes entreprises soumises aux exigences réglementaires, ou sectorielles montrent un niveau élevé (865/1000). Le rôle des cadres existants tire la maturité vers le haut.

Taille & Ressources

Deuxième enseignement : la taille, plus les structures sont importantes, plus elles disposent de ressources pour des dispositifs robustes (Scores : 865 pour les grandes entreprises, 762 : ETI, 694 : PME et 647 : TPE). Les plus petites structures progressent vite lorsqu’elles s’engagent :  +25% pour les TPE entre deux évaluations, +3% pour les grandes entreprises déjà matures.

Dynamique encourageante et fragile qui confirme la nécessité d’accompagner PME et ETI dans leur montée en maturité.

Formalisation & Implémentation

Troisième enseignement : on note un décalage entre politiques de sécurité formalisées et implémentation effective.

De nombreuses organisations rédigent des politiques et procédures, mais ne démontrent pas leur application opérationnelle. 73% des organisations essentielles font usage de l’authentification forte pour les accès distants (contre 51% pour les entreprises importantes, et moins de 30% pour celles hors du champ NIS 2).

Smartphone & Authentification forte

Quatrième enseignement : la sécurisation des accès distants est maîtrisée, mais la gestion des appareils mobiles est un problème : 78% (entreprises essentielles) ont formalisé une politique de gestion des mobiles, et 21% démontrent l’usage d’une authentification forte sur ces appareils.

Détection & Surveillance

Cinquième point : si la journalisation est largement pratiquée, peu d’organisations franchissent le pas du monitoring temps réel et de la corrélation d’événements, faute de moyens et d’expertise.

Supply chain cyber & Résilience

Enfin, la sécurisation des tiers préoccupe : 85% des entreprises essentielles insèrent des clauses contractuelles de sécurité, seules 24% des entreprises hors NIS 2 procèdent à une évaluation effective des partenaires. D’où une faille dans la résilience de l’écosystème. Selon Frank Van Caenegem, administrateur du CESIN et Chief Information Security Officer EMEA de Schneider Electric « Les programmes de gestion des risques tiers sont mis en place pour accompagner les partenaires, et doivent être animés par une démarche collaborative de l’amélioration de l’écosystème. Il ne s’agit pas de noyer les fournisseurs sous des questionnaires qui ne sont qu’un reflet partiel de leur maturité et de leur résilience, au risque de les détourner d’une sécurité plus agile. L’enjeu est désormais que les entreprises allègent leurs demandes en fonction des statuts NIS 2 des fournisseurs. »

Points forts & Fragilités

On observe aussi une gouvernance de la cyber de plus en plus structurée (même hors NIS 2), l’intégration progressive de la sécurité dans les ressources humaines, des processus de gestion des incidents largement établis témoignant d’une capacité à identifier les menaces et à y répondre (96% des essentielles, 85% des importantes, 67% des hors scope).

Mais, les fragilités touchent les plans de continuité d’activité rarement testés, les audits et tests d’intrusion réguliers peu répandus hors NIS 2, une difficulté des PME et ETI à sécuriser les configurations et à déployer une approche par les risques.

Source : CyberVadis publie un panorama de la maturité en cybersécurité des entreprises françaises, en partenariat avec le CESIN, club des experts de la sécurité de l’information et du numérique. Plus de 1000 évaluations, en France depuis 2023, documentées et vérifiées.

Le score dans l’étude est un indicateur de maturité cyber. Chaque organisation est notée de 300 à 1000 points. Un score basé sur des preuves documentaires et vérifié par des experts, traduit concrètement son degré de maturité cyber. Le résultat positionne chacune d’entre elles entre insuffisance (sous 400 points) et mature (au-delà de 850 points).