La cybersécurité des 100 plus grandes entreprises françaises est un enjeu majeur dans un monde où les menaces numériques ne cessent d’évoluer. Le rapport récent sur ce sujet met en lumière les vulnérabilités auxquelles ces entreprises sont confrontées, notamment en raison de la complexité croissante des chaînes d’approvisionnement numériques et de l’interconnexion mondiale.
Le paysage des menaces
Les entreprises françaises, en particulier les plus grandes, sont de plus en plus exposées à des cyberattaques sophistiquées. Les principales menaces identifiées incluent les attaques liées à la chaîne d’approvisionnement, les attaques étatiques et la multiplication des points d’entrée due au télétravail et à la digitalisation croissante. Cela rend leur environnement numérique de plus en plus vulnérable aux cybercriminels, qui exploitent des failles telles que les vulnérabilités zero-day. En 2023, le groupe de cybercriminalité a notamment exploité une vulnérabilité dans le logiciel de transfert de fichiers MOVEit, causant une augmentation importante des violations de données.
Coût des violations de données
Une violation de données coûte en moyenne 4,2 millions d’euros aux entreprises. Ce chiffre souligne la nécessité d’investir dans des mesures de cybersécurité robustes. Dans ce contexte, 40 % des entreprises analysées dans le rapport ont obtenu une note de sécurité C ou inférieure, ce qui les expose à des risques accrus. À l’inverse, les entreprises qui investissent davantage dans la cybersécurité, notamment celles avec une capitalisation boursière plus élevée, montrent des scores plus favorables et une meilleure résilience face aux attaques.
Les performances sectorielles
Les performances en matière de cybersécurité varient considérablement selon les secteurs. Le secteur de l’énergie se distingue comme le plus résilient, avec seulement 29 % des entreprises ayant obtenu une note C ou inférieure. Cependant, malgré cette robustesse apparente, 14 % des entreprises de ce secteur ont été directement victimes de violations de données. À l’opposé, les entreprises du secteur des services obtiennent les notes les plus faibles, avec 79 % d’entre elles notées C ou moins.
La chaîne d’approvisionnement : un défi critique
L’un des principaux défis mis en lumière dans le rapport concerne la vulnérabilité des chaînes d’approvisionnement. En effet, 98 % des entreprises du panel sont en relation avec une entité tierce ayant subi une violation de données. De plus, 100 % des plus grandes entreprises françaises sont en relation avec des fournisseurs de quatrième niveau ayant également subi des violations. Cela met en évidence la nécessité pour ces entreprises de gérer non seulement leurs propres risques cyber, mais aussi ceux de l’ensemble de leur écosystème numérique.
L’importance de la résilience numérique
Le rapport souligne également que la France est en avance en matière de cybersécurité en Europe. Cependant, avec l’arrivée prochaine du règlement sur la résilience opérationnelle numérique (DORA) en 2025, les entreprises doivent redoubler d’efforts pour renforcer leur résilience cyber. DORA vise à renforcer la cyber résilience des entreprises, en particulier dans le secteur financier. Cela est particulièrement crucial compte tenu de la forte interconnexion entre les entreprises et les secteurs économiques, qui entraîne des risques systémiques accrus en cas de cyberattaque.
Les recommandations pour améliorer la cybersécurité
Pour faire face aux menaces croissantes, le rapport propose plusieurs recommandations :
- Prioriser la sécurité des applications et des réseaux : ces deux aspects sont essentiels pour se prémunir contre les cybermenaces les plus courantes.
- Renforcer la sécurité des terminaux : ordinateurs portables, ordinateurs de bureau, appareils mobiles et dispositifs BYOD doivent être protégés pour éviter les intrusions.
- Fréquence des correctifs : la mise en place d’un programme rigoureux de gestion des correctifs est cruciale pour atténuer les vulnérabilités connues.
- Intégrité du DNS : une mauvaise configuration du DNS peut ouvrir la porte à des attaques. Il est donc essentiel de veiller à la santé de ce système clé.
Comparaison avec d’autres pays européens
La cybersécurité des entreprises françaises se compare de manière mitigée avec celle de leurs homologues européennes. Les entreprises britanniques, par exemple, présentent des scores de cybersécurité globalement meilleurs, avec seulement 24 % d’entre elles obtenant une note C ou inférieure, contre 40 % pour la France. Les entreprises françaises montrent cependant un taux plus élevé de violations subies par des tiers et des quatrièmes parties, un indicateur qui témoigne de l’interconnexion croissante des entreprises françaises avec des entités à risque.
Le lien entre cybersécurité et capitalisation boursière
Il existe une corrélation positive entre la capitalisation boursière des entreprises et leur niveau de cybersécurité. Les entreprises dont la capitalisation boursière dépasse les 100 milliards de dollars sont généralement mieux protégées, avec seulement 14 % d’entre elles obtenant une note C ou inférieure. À l’inverse, 62 % des entreprises dont la capitalisation est comprise entre 50 et 10 milliards de dollars obtiennent des notes inférieures. Cela démontre que les grandes entreprises ont tendance à investir davantage dans des infrastructures de cybersécurité robustes.
Perspectives pour l’avenir
Face à la sophistication croissante des cybermenaces, il est clair que les 100 plus grandes entreprises françaises doivent continuer d’investir massivement dans la cybersécurité. Le renforcement des infrastructures critiques, la gestion rigoureuse des tiers et l’adoption de pratiques exemplaires telles que la gestion des correctifs sont essentielles pour garantir leur résilience face aux cyberattaques. À l’approche de la mise en œuvre de DORA en 2025, il est impératif que ces entreprises se préparent à répondre aux exigences accrues en matière de résilience numérique, afin de sécuriser leur avenir dans un environnement numérique toujours plus dangereux.
