Dans le cadre de l’arrivée opérationnelle de l’EDIH Bretagne et du lancement prochain du CSIRT régional, BDI et la Région Bretagne ont lancé une étude visant à chiffrer le degré de maturité et de connaissance en cybersécurité des organisations présentes sur le territoire. Présenté lors des API Days Cybersécurité le 11 juillet 2023, ce baromètre complète la cartographie des acteurs bretons spécialisés en cybersécurité réalisée par BDI.
Compléter l’annuaire des sécurisants en caractérisant les sécurisés
Région pionnière et porteuse en matière de cybersécurité en France et en Europe, la Bretagne se dote désormais d’un baromètre évaluant le degré de maturité et les besoins en cybersécurité de ses organisations publiques et privées. Réalisée en partenariat avec le syndicat mixte Megalis, le CLUSIR, le club des ETI Bretagne et l’Ordre des experts-comptables et supervisée par BDI pour le compte de la Région Bretagne, l’étude vient compléter l’annuaire des acteurs de la cybersécurité conçu par BDI. « Nous avions déjà une bonne vision des sécurisants, ces entreprises qui protègent le territoire breton. En revanche, nous avions encore peu d’informations concernant ceux qui doivent être protégés, les sécurisés, à savoir les collectivités locales, les associations ou les entreprises en Bretagne », situe Guillaume Chéreau, responsable du CSIRT Bretagne au sein de la Région Bretagne, qui a mené l’étude.
Depuis le 11 juillet et la tenue des API Days Cybersécurité, la Bretagne bénéficie ainsi d’une vision globale de l’intégralité de son écosystème en cybersécurité. « L’objectif de cette étude était de savoir comment les organisations bretonnes perçoivent les risques, quel est leur niveau de maturité quant aux questions de cybersécurité, ce qu’elles mettent déjà en œuvre, la connaissance des dispositifs d’accompagnement, leurs besoins et les éventuels freins à la mise en œuvre d’une politique spécifique à la cybersécurité. »
Un tiers des organisations bretonnes déjà victimes d’une cyberattaque
Entre le 16 mars et le 19 mai 2023, l’étude a réuni 269 réponses, issues à 50% d’entreprises, à 45% de collectivités locales et à 5% d’associations. L’un des principaux enseignements révélés par le baromètre est le taux d’organisations ayant déjà subi une cyberattaque qui s’élève à 36%, soit un tiers des répondants. “Dans 45% des cas, le mode opératoire était un rançongiciel. La fraude par ingénierie sociale représente 26% de ces attaques.”
Un niveau minimal d’hygiène informatique…
Le baromètre dresse un état des lieux de l’implémentation des mesures cyber d’hygiène fondamentales. Ainsi, 92% des entités ont mis en place une politique de protection par antivirus, 76% un système de protection de la messagerie et 84% une solution de pare-feu périmétrique. La mise en œuvre de serveurs de mise à jour n’est effective que pour 51% des répondants. “Les chiffres démontrent que la très grande majorité des entités bretonnes, qu’elles soient publiques ou privées, ont le niveau minimal en matière d’hygiène informatique.”
… mais des mesures avancées encore faibles
Les organisations bretonnes ont en revanche une large marge de progression lorsqu’il s’agit d’instaurer des stratégies de protection et de prévention plus avancées recommandées par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Hormis pour les sauvegardes hors-ligne (sur disques durs externes ou des bandes dédiées), qui sont mises en place au sein de 73% des entités répondantes, les autres mesures prioritaires ne sont pas assez mises en place, avec un niveau moyen d’implémentation de l’ordre de 40%. Dans le détail :
- Dispositif de gestion de crise adapté à une cyberattaque : 40%
- Liste priorisée des services numériques critiques de l’entité : 37%
- Supervision de sécurité : 23%
- Authentification multifacteurs : 32%
“Le faible taux de réponses positives pour l’authentification multi-facteurs et la supervision représente un point noir important, souligne Guillaume Chéreau. Aujourd’hui, les ordinateurs compromis par des maliciels dérobeurs, des infostealers, se comptent par milliers, à travers le monde, chaque jour. L’authentification multi-facteurs s’avère indispensable pour contrer ce phénomène rendant accessible des identifiants, parfois professionnels, aux cybercriminels. Concernant la supervision, aujourd’hui, il ne faut plus se contenter d’une protection périmétrique. Ce sont deux axes de progrès majeurs.”
Découvrir l’intégralité des résultats de l’enquête
Une base de travail pour l’EDIH Bretagne et le futur CSIRT
Afin de répondre aux normes de cybersécurité exigées, les organisations pourront se tourner vers l’émanation bretonne de EDIH (European Digital Innovation Hub) et le futur CSIRT-Bretagne (centre de réponse à incidents cyber). “Les résultats de l’enquête montrent que ces deux outils ont une véritable raison d’être et sont complémentaires. L’EDIH, afin d’accompagner la transformation numérique, avec la mise en place d’un niveau de sécurité qui monte aussi vite que la numérisation. Les entités répondantes ont pu faire part de leur intérêt pour être mises en relation avec l’EDIH. Le CSIRT, qui est en cours d’incubation, accompagnera les victimes de cyberattaques et apportera des services plutôt techniques aux entités intéressées, comme de la veille en vulnérabilité ou des scans.”