Le rapport 2024 Voice of the CISO de Proofpoint révèle que plus des trois quarts des RSSI français considèrent l’erreur humaine comme le risque principal pour la sécurité de l’entreprise
Face à cette vulnérabilité, 89 % des RSSI français se tournent vers les technologies alimentées par l’IA pour se protéger des erreurs humaines et bloquer les cybermenaces avancées qui ciblent les employés.
Paris, France, le 21 mai 2024 — Proofpoint, Inc., l’une des sociétés leader dans les domaines de la cybersécurité et de la conformité, publie aujourd’hui son rapport annuel Voice of the CISO
Le rapport 2024 souligne une tendance notoire : alors que les craintes de cyberattaques sont de nouveau à la hausse, les RSSI regagnent peu à peu confiance dans leur capacité à se défendre contre ces menaces, reflétant un changement significatif dans le paysage de la cybersécurité. En France, plus des trois quarts (80 %) des RSSI interrogés se sentent menacés par un risque de cyberattaque matérielle au cours des 12 prochains mois, un chiffre supérieur à celui de l’année précédente (74 %), mais au niveau de l’année 2022 (80 %).
Cette tendance maintient les RSSI français en état d’alerte bien que leur confiance augmente : alors qu’en 2023, 76 % des RSSI français interrogés se disaient mal préparés à faire face à la menace d’une cyberattaque ciblée, ils ne sont plus que 54 % aujourd’hui.
Talon d’Achille de la cybersécurité, 82 % des RSSI français identifient l’erreur humaine comme la principale vulnérabilité dans l’entreprise. Face à une année marquée par l’augmentation des menaces internes et des pertes de données liées aux utilisateurs, les RSSI français sont les plus nombreux (91 % contre 80 % dans le monde) à considérer que le risque humain, en particulier les collaborateurs négligents, sera une préoccupation majeure au cours des deux prochaines années. Néanmoins, les solutions alimentées par l’Intelligence Artificielle (IA) sont source d’optimisme puisqu’elles devraient permettre d’atténuer les risques liés aux utilisateurs finaux, et ainsi marquer un pivot stratégique vers une stratégie de défense basée sur la technologie.
Méthodologie
Le rapport 2024 Voice of the CISO examine les réponses d’une enquête mondiale menée auprès de plus de 1 600 RSSI d’entreprises de 1000 employés ou plus, dans divers secteurs d’activité. Au cours du premier trimestre 2024, 100 RSSI ont été interrogés sur chaque marché dans 16 pays : États — Unis, Canada, Royaume-Uni, France, Allemagne, Italie, Espagne, Suède, Pays-Bas, Émirats arabes unis, Afrique du Sud, Australie, Japon, Singapour, Corée du Sud et Brésil.
Le rapport offre un point de vue essentiel sur l’état de la cybersécurité en interrogeant ceux qui sont à l’avant-garde de la protection des personnes et de la défense des données. Les conclusions du rapport soulignent l’importance de maintenir des mesures de cybersécurité robustes et de considérer le rôle essentiel des individus pour s’y préparer au mieux, particulièrement dans un contexte économique qui continue de peser sur les organisations. L’enquête mesure également l’évolution de l’alignement entre les responsables de la sécurité et leur conseil d’administration, et l’impact de leurs relations sur les priorités en matière de sécurité.
« Alors que notre rapport 2023 mettait en exergue les efforts entrepris par les organisations et les RSSI pour améliorer leur niveau de sécurité, la vague d’attaque centrée sur l’humain et la sophistication des tactiques employées par les cybercriminels témoignent de la fragilité des stratégies actuelles » a déclaré Patrick Joyce, résident RSSI monde chez Proofpoint. « Les résultats de cette année soulignent une évolution collective vers des défenses plus stratégiques, notamment une meilleure formation, l'adoption de nouvelles technologies et une approche adaptative aux menaces émergentes telles que l'IA générative. »
Les principales conclusions du rapport 2024 Voice of the CISO de Proofpoint pour la France sont les suivantes :
- L’erreur humaine reste en tête des principales vulnérabilités cyber, mais devrait être atténuée grâce à l’IA : 82 % des RSSI français considèrent l’erreur humaine comme la plus grande vulnérabilité cyber de leur organisation — un chiffre en augmentation par rapport à 2023 (75 %). Cependant, ils sont autant (83 %) à estimer que les employés comprennent leur rôle dans la protection de l’organisation. Un niveau de confiance plus élevé que les années précédentes qui étaient de 79 % en 2023 et 69 % en 2022. Une tendance certainement liée à la volonté de la plupart des RSSI français (89 %) de déployer l’IA pour mieux se protéger des erreurs humaines et bloquer les cybermenaces avancées qui ciblent les collaborateurs.
- Les cyberattaques inquiètent davantage de RSSI bien que mieux préparés, témoignant d’une confiance grandissante dans leurs mesures de sécurité. 80 % des RSSI interrogés se sentent menacés par un risque de cyberattaque au cours des 12 prochains mois, c’est plus qu’en 2023 (74 %), mais au niveau de 2022 (80 %). Néanmoins, ils ne sont plus que 54 % à estimer que leur organisation n’est pas préparée à faire face à une cyberattaque ciblée, une amélioration comparée aux 76 % l’année dernière, mais toujours en dessous des niveaux de 2022 (37 %).
- L’IA générative est une menace croissante. 64 % des RSSI français estiment que l’IA générative présente un risque de sécurité accru pour leur organisation. Selon eux, les systèmes les plus à risques sont : le dispositif de réseau périmétrique (55 %), ChatGPT et autres outils de GenAI (46 %) puis Microsoft 365 (39 %).
- La rotation du personnel reste une préoccupation importante. 58 % des RSSI français ont déclaré avoir dû faire face à une perte de données sensibles au cours des 12 derniers mois, et 81 % d’entre eux reconnaissent que le départ d’employés quittant l’organisation a contribué à cette perte. Malgré cela, 79 % des RSSI estiment avoir mis en place des contrôles adéquats pour protéger leurs données.
- Les programmes de prévention et de formation ne font toujours pas l’unanimité chez les RSSI français. Seuls 37 % des RSSI interrogés ont mis en place une solution de prévention à la perte de données (DLP), alors qu’ils étaient 43 % à l’avoir fait en 2023. De même, moins de la moitié (47 %) ont investi dans la formation en interne pour la protection des données, un chiffre encore faible bien qu’en légère hausse (43 % en 2023).
- Les attaques DDoS et la fraude par courrier électronique restent en tête de liste des menaces les plus importantes pour les RSSI français. Cette année les attaques DDoS repassent en tête, suivi de près par la fraude par courrier électronique (BEC Business Email Compromise) et un retour des rançongiciels comme l’une des trois principales préoccupations. Une évolution surprenante alors que l’année dernière figuraient le risque interne, et la chaîne d’approvisionnement, dans les plus grandes menaces perçues.
- Les organisations ont de plus en plus recours à la cyber-assurance. 56 % (72 % en 2023) des RSSI français pensent que leur organisation paierait pour restaurer les systèmes et empêcher la divulgation de données si elle était attaquée par un rançongiciel. Et ils comptent toujours sur l’assurance cyber pour transférer ce risque : 82 % ont déclaré qu’ils déposeraient une demande d’indemnisation auprès d’une cyber-assurance pour recouvrer les pertes subies lors de différents types d’attaques — ils étaient 73 % en 2023.
- Les RSSI et les conseils d’administration s’alignent. 83 % des RSSI français estiment être alignés avec les membres de leur conseil d’administration sur les questions de cybersécurité. Une augmentation significative comparée au 67 % qui partageaient ce point de vue l’année dernière, et au 51 % en 2022.
- Les pressions exercées sur les RSSI en France demeurent présentes. Encore plus de la moitié (54 %) des RSSI français admettent être en burn-out (en baisse comparé au 65 % l’année dernière,) et 70 % d’entre eux estiment être confrontés à des attentes professionnelles excessives, une légère baisse par rapport aux 75 % qui exprimaient ce sentiment l’an dernier. L’élargissement continu des attentes et responsabilités qui pèse sur le rôle du RSSI se fait toujours ressentir : en effet, 73 % d’entre eux s’inquiètent pour l’engagement de leur responsabilité civile et 74 % admettent ne pas vouloir rejoindre une organisation qui ne possède pas une assurance spécifique aux administrateurs et dirigeants. En outre, 68 % des RSSI français reconnaissent que le ralentissement économique actuel a entravé leur capacité à réaliser des investissements essentiels pour l’organisation — 54 % d’entre eux ont ainsi été invités à réduire leurs effectifs, retarder les remplacements et réduire les budgets consacrés à la sécurité.
« Les résultats de cette année montrent qu’un changement crucial est nécessaire si les entreprises veulent tendre vers une plus grande cyber-résilience pour que les RSSI français gagnent en confiance » commente Xavier Daspre, Directeur Technique France chez Proofpoint. « Les organisations ont compris l’importance de sensibiliser les collaborateurs et le rôle de l’offre de formation en interne. Notre rapport 2024 Voice of the CISO reflète néanmoins les difficultés constantes liées à la rotation du personnel et à la pression toujours exercée sur les ressources économiques et humaines. Il rappelle la nécessité d’un engagement continu des membres du conseil d’administration alors que la vigilance et l’adaptation seront essentielles afin d’atteindre un niveau élevé de cyber-résilience collective. »
Pour télécharger le rapport Voice of the CISO 2024, rendez-vous sur : https://www.proofpoint.com/fr/resources/white-papers/voice-of-the-ciso-report
###
À propos de Proofpoint, inc.
Proofpoint, inc. est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risque des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques. Les entreprises de toutes tailles, y compris 85 % des entreprises de l’index Fortune 100, font confiance à Proofpoint pour diminuer leurs risques les plus critiques en matière de sécurité et de conformité via les courriels, le cloud, les réseaux sociaux et le Web. Pour plus d’informations, rendez-vous sur www.proofpoint.com/fr.
Connectez-vous avec Proofpoint : X | LinkedIn (en anglais seulement) | Facebook (en anglais seulement) | Youtube
Proofpoint est une marque déposée ou un nom commercial de Proofpoint, inc. aux États-Unis et/ou dans d’autres pays. Toutes les autres marques de commerce contenues dans le présent document sont la propriété de leurs propriétaires respectifs.