Les entreprises européennes s'attendent à observer une augmentation du nombre d'attaques contre la cybersécurité, mais ne se sentent pas préparées à y faire face
Les entreprises européennes s'attendent à observer une augmentation du nombre d'attaques contre la cybersécurité, mais ne se sentent pas préparées à y faire face
Une nouvelle étude de Cloudflare révèle que 64 % des dirigeants d'entreprise s'attendent à vivre un incident affectant la cybersécurité au cours des 12 prochains mois, mais que 29 % seulement pensent que leurs défenses sont prêtes
Une nouvelle étude de Cloudflare révèle que 64 % des dirigeants d'entreprise s'attendent à vivre un incident affectant la cybersécurité au cours des 12 prochains mois, mais que 29 % seulement pensent que leurs défenses sont prêtes
Paris, le 18 juin 2024 — Cloudflare, Inc. (NYSE : NET), le leader dans le domaine de la connectivité cloud, publie aujourd'hui une nouvelle étude consacrée à la cybersécurité en Europe. Ce rapport, intitulé « Une protection pour l'avenir : le panorama des cybermenaces en Europe », présente les dernières données examinant de quelle manière les entreprises font face aux volumes croissants d'incidents affectant la cybersécurité, leur niveau de préparation et les principaux défis qu'elles doivent relever.
Ces nouveaux résultats révèlent une inquiétude constante face aux menaces grandissantes affectant la cybersécurité, ainsi qu'un sentiment d'impréparation parmi les entreprises européennes.
Les attaques contre la cybersécurité augmentent en volume et en fréquence
L'enquête, qui a été réalisée auprès de plus de 4 000 dirigeants d'entreprise et responsables technologiques sur 13 marchés européens (Benelux, CEER, DACH, pays nordiques, Europe du Sud, Royaume-Uni), a révélé que 40 % des entreprises ont subi un incident affectant la cybersécurité au cours des 12 derniers mois.
Parmi celles qui ont subi un événement de ce type, 84 % signalent que la fréquence de ces incidents a augmenté au cours de la même période ; près d'une entreprise sur cinq (16 %) subit désormais une attaque affectant la cybersécurité tous les 6 à 11 jours. Par ailleurs, 62 % des personnes interrogées déclarent que le « temps de séjour » des acteurs malveillants a également augmenté au cours de la même période.
Pour l'avenir, deux tiers (66 %) des personnes interrogées pensent que les attaques vont se multiplier au cours de l'année prochaine, et 64 % d'entre elles s'attendent à subir un incident affectant la cybersécurité au cours des 12 prochains mois.
La majorité des entreprises ne sont pas préparées à faire face aux menaces affectant la cybersécurité
Il est inquiétant de constater qu'en dépit de l'augmentation du volume et de la fréquence de ces attaques, 29 % seulement des personnes interrogées déclarent être très bien préparées à faire face à des incidents de cybersécurité à l'avenir.
En outre, les secteurs qui ont subi le moins d'attaques figurent également parmi les moins bien préparés. 28 % seulement des personnes interrogées dans le secteur de la santé et 31 % des répondants dans le secteur de l'éducation ont déclaré avoir subi une attaque au cours des 12 derniers mois. Le niveau perçu de préparation à un incident futur se révèle également faible dans ces mêmes secteurs, avec respectivement 18 % et 19 %.
Pour les personnes interrogées dans le secteur de l'informatique et de la technologie, toutefois, l'inverse est vrai. Toutefois, près de la moitié (49 %) des entreprises ont subi une attaque au cours de l'année écoulée, incitant les organisations de ce secteur à rester en alerte. Plus d'un tiers (35 %) des personnes interrogées dans ce secteur déclarent être très bien préparées à faire face à une attaque, faisant de ce secteur le plus confiant dans sa capacité à affronter ces incidents. Le secteur de l'informatique et de la technologie est suivi par les entreprises issues du secteur des services financiers et du commerce de détail (32 % et 31 %, respectivement).
Lorsque l'on s'intéresse à la taille des entreprises, le manque de préparation des petites structures est particulièrement préoccupant, puisqu'un quart seulement (25 %) d'entre elles déclarent être bien préparées. Les moyennes et grandes entreprises, cependant, ne sont guère mieux loties : 27 % et 32 % seulement affirment avoir atteint un niveau de préparation élevé.
Le coût d'une atteinte n'est pas seulement financier
Dans les entreprises qui ont subi une violation de leur cybersécurité, plus d'un tiers des personnes interrogées (39 %) déclarent que la principale conséquence demeure d'ordre financier. Plus d'une entreprise sur cinq (22 %) affirme avoir subi une perte de revenus à la suite d'un incident. De même, 23 % des entreprises ont connu une augmentation de leurs primes d'assurance, 22 % ont dû verser des amendes et 23 % ont été assignées en justice. Enfin, une entreprise sur cinq (19 %) a été contrainte de licencier des membres de leur équipe en raison des pertes financières subies à la suite d'un incident.
Si l'on examine les chiffres de plus près, près des deux cinquièmes (38 %) des personnes interrogées déclarent que l'impact financier des incidents subis par leur entreprise se situe entre 934 000 EUR et 1,86 million d'euros, tandis qu'un quart (25 %) des personnes interrogées estime que la perte de revenus s'élève à plus d’1,86 million d'euros.
Par ailleurs, 17 % des personnes interrogées ont déclaré que l'atteinte à la réputation était la conséquence la plus importante. En outre, 31 % des entreprises ont suspendu leurs projets de croissance à la suite d'un incident, tandis que plus d'un quart (28 %) ont temporairement suspendu leurs activités.
Les entreprises cherchent à simplifier et à moderniser leurs solutions face à des menaces diversifiées
Il n'est guère surprenant de constater que l'appât du gain se situe au cœur de nombreuses attaques (48 %) dans l'ensemble des pays européens couverts par l'enquête. Cependant, les personnes interrogées dans le cadre de cette dernière estiment également que les menaces auxquelles elles ont été confrontées découlent d'une gamme d'objectifs beaucoup plus large.
La majorité (53 %) des personnes interrogées dont l'entreprise a été affectée par un incident au cours des 12 mois passés déclarent que l'objectif principal était l'implantation de logiciels espions. De même, près de la moitié (48 %) des personnes interrogées affirment que l'implantation de rançongiciels constituait l'objectif principal de l'attaque.
Quant aux vecteurs d'attaque les plus courants, ils se révèlent également très variés. Le phishing (hameçonnage) arrive en tête de liste, avec près de trois personnes interrogées sur cinq (59 %) affirmant avoir été témoins de cette approche. Les attaques web (58 %) et les attaques DDoS (37 %) arrivent à très courte distance derrière. Le vol d'identifiants et la compromission du courrier électronique professionnel sont également des phénomènes courants, puisque près d'un tiers (32 %) des personnes interrogées en ont fait l'expérience.
Lorsqu'il s'agit de résoudre ces problèmes, l'intégration d'un plus grand nombre de produits semble être la solution la plus fréquente. En réalité, près de la moitié (49 %) des personnes interrogées déclarent que leur entreprise a déployé plus de 11 produits et solutions différents. La grande majorité (72 %) estime que cette complexité a un impact négatif sur leur efficacité ; néanmoins, deux tiers (67 %) des personnes interrogées s'attendent à ce que le nombre d'outils adoptés par leur entreprise augmente encore au cours des 12 prochains mois.
Notamment, les trois défis les plus urgents auxquels sont confrontés les décideurs et les responsables de la cybersécurité sont la consolidation et la simplification du parc de cybersécurité (48 %), la modernisation des applications utilisées par l'entreprise (47 %) et la modernisation des réseaux exploités par l'entreprise (42 %).
L'éducation à l'approche Zero Trust doit être poursuivie pour générer un impact maximal
Les personnes interrogées signalent trois problèmes évidents affectant les architectures existantes avec lesquelles ils travaillent : les applications et données stockées dans le cloud public, le contrôle limité des chaînes logistiques informatiques et la dépendance excessive à l'égard des VPN pour protéger les applications (chacun de ces facteurs étant mentionné par 34 % des personnes interrogées).
Compte tenu de ces problèmes, il n'est guère surprenant que la sécurisation d'une main-d'œuvre hybride soit une priorité absolue, et qu'elle figure parmi les trois premières priorités pour plus d'un tiers (36 %) des personnes interrogées dans le cadre de l'enquête.
Il est inquiétant de constater que, pour de nombreuses entreprises, le déploiement de contre-mesures accuse un retard considérable, voire n'a pas encore commencé dans certains cas. Le déploiement de l'accès réseau Zero Trust ne progresse pas assez rapidement, malgré une capacité à protéger les collaborateurs en travail hybride ou en télétravail largement reconnue En effet, 25 % seulement des personnes interrogées affirment que le déploiement de cette solution est finalisé et plus de la moitié (58 %) des répondants déclarent que l'adoption de l'architecture Zero Trust n'en est qu'à ses débuts.
Si deux cinquièmes des personnes interrogées (44 %) se déclarent optimistes quant à la capacité de l'architecture Zero Trust à consolider les mises à jour technologiques, les répondants font également part de leur manque de confiance dans la connaissance de l'outil par les équipes dirigeantes de leur entreprise. En réalité, la majorité des personnes interrogées (86 %) pensent que leurs dirigeants ne comprennent pas pleinement la solution, tandis que près d'un répondant sur cinq (16 %) déclare que les dirigeants ne la comprennent que partiellement, voire pas du tout. Selon 42 % des personnes interrogées, ce manque de compréhension est le principal obstacle à l'adoption.
Malgré l'augmentation des budgets, le financement, les talents et la formation demeurent des problématiques
À l'heure où les dirigeants d'entreprise anticipent une augmentation du nombre d'incidents affectant la cybersécurité, il est positif de constater que 54 % des personnes interrogées anticipent une augmentation du budget informatique consacré à la cybersécurité l'année prochaine.
Un quart (25 %) des dirigeants d'entreprise et responsables informatiques s'attendent à ce que la cybersécurité représente au moins 20 % des dépenses informatiques de leur entreprise au cours de l'année à venir. Et parmi ceux qui anticipent une augmentation budgétaire, deux tiers (66 %) des répondants prévoient une hausse de plus de 10 %.
Pour la majorité d'entre eux, la protection des réseaux de l'entreprise demeure le premier domaine d'investissement, près de 24 % du budget étant en moyenne alloué à ce pilier. Bien qu'il s'agisse du domaine dans lequel les personnes interrogées considèrent qu'il existe un manque considérable de préparation, les équipements n'occupent que l'avant-dernière place en termes d'allocation de budget.
Au regard de l'approche sur laquelle repose cette allocation budgétaire, les deux principaux facteurs déterminants sont le nombre d'incidents (34 %) et le coût de leur résolution (20 %), ce qui révèle que la plupart des entreprises semblent rester réactives dans leurs décisions d'allocation de fonds.
Le financement demeure la principale préoccupation pour 46 % des personnes interrogées. Toutefois, d'autres préoccupations, telles que la pénurie de talents (41 %) ainsi que l'évolution des exigences de l'entreprise et des besoins des utilisateurs (30 %), sont celles qui tiennent les dirigeants d'entreprise et les responsables techniques éveillés la nuit.
Il est intéressant de noter que, malgré l'augmentation du volume des attaques, un quart (25 %) des personnes interrogées indique que le manque d'adhésion des dirigeants constitue un problème majeur. Dans la mesure où moins d'un quart (23 %) des personnes interrogées n'ont pas reçu de formation à l'intention de la direction ou du personnel général des employés, il n'est guère surprenant que 21 % des dirigeants d'entreprise et responsables informatiques décrivent la culture de cybersécurité de leur entreprise comme faible ou neutre.
« Les entreprises de toute l'Europe font face à un panorama de cybersécurité toujours plus complexe, ainsi qu'à la nécessité d'assurer leur efficacité opérationnelle, leur conformité réglementaire et une productivité ininterrompue. Tandis que les incidents augmentent en volume et en fréquence, cet exercice d'équilibre devient encore plus difficile et confronte les dirigeants à la sensation de perdre le contrôle sur les infrastructures technologiques et de sécurité de leur entreprise, », déclare Andy Lockhart, Head of EMEA chez Cloudflare. « Ce défi considérable exige des solutions innovantes, capables d'intégrer différents composants technologiques au sein d'une infrastructure agile et cohérente. L'époque des infrastructures traditionnelles cloisonnées cède la place à un nouveau paradigme de plateformes cloud « any-to-any », qui s'imposent comme autant de catalyseurs de croissance et d'innovation. En se concentrant sur l'intégration stratégique, les plateformes cloud « any-to-any » permettent aux dirigeants de transformer les problématiques techniques en avantages concurrentiels. L'adoption de cette approche contribuera à façonner un avenir dans lequel la connectivité et l'innovation résident au cœur de la réussite de l'entreprise, ouvrant la porte à un univers de possibilités illimitées, » ajoute Andy Lockhart.
Pour en apprendre davantage sur le rapport Europe Cyber Threat Landscape Report, veuillez consulter :
Méthodologie de l'enquête
Cette enquête a été réalisée par Sandpiper Communications pour le compte de Cloudflare, auprès de 4 261 dirigeants responsables de la cybersécurité au sein de petites (150 à 999 collaborateurs), moyennes (1 000 à 2 499 collaborateurs) et grandes (plus de 2 500 collaborateurs) entreprises. Les personnes interrogées sont issues d'un large éventail de secteurs : services aux entreprises et services professionnels ; construction et immobilier ; éducation ; énergie, services publics et ressources naturelles ; services financiers ; jeux vidéo ; administrations ; santé ; informatique et technologie ; industrie manufacturière ; médias et télécommunications ; commerce de détail ; transports ; voyages, tourisme et hôtellerie. Les personnes interrogées étaient basées dans 13 marchés européens : Belgique, République tchèque, Danemark, France, Allemagne, Italie, Pays-Bas, Norvège, Pologne, Espagne, Suède, Suisse et Royaume-Uni (n=207 à 432 par pays) ; elles ont été interrogées en ligne et recrutées par l'intermédiaire de groupes professionnels généraux. L'enquête visait à offrir une meilleure compréhension du panorama des menaces auxquelles sont confrontés les responsables de la sécurité des systèmes d'information (RSSI) et leurs équipes dans toute l'Europe, à extraire des informations et des tendances précieuses et à évaluer les réponses et les résultats. L'enquête a été réalisée en mars 2024.
À propos de Cloudflare
Cloudflare, Inc. (NYSE : NET), le leader dans le domaine de la connectivité cloud, s'est donné pour mission de contribuer à bâtir un Internet meilleur. Nous fournissons aux entreprises tous les moyens nécessaires pour rendre leurs collaborateurs, leurs applications et leurs réseaux plus rapides et plus sûrs, partout dans le monde, tout en réduisant la complexité et les coûts. La connectivité cloud Cloudflare propose la plateforme unifiée la plus complète en matière de produits et d'outils de développement cloud-native, afin de permettre à toutes les entreprises de bénéficier des mesures de contrôle dont elles ont besoin pour travailler, développer et dynamiser leur activité. Reposant sur l'un des réseaux les plus vastes et les plus interconnectés du monde, Cloudflare bloque chaque jour des milliards de menaces en ligne pour le compte de ses clients. Des millions d'entreprises et d'organisations nous font confiance, des plus grandes marques aux entrepreneurs individuels et aux PME, en passant par les organismes à but non lucratif, les groupes d'assistance humanitaire et les administrations du monde entier.
Pour en apprendre davantage sur la solution de connectivité cloud de Cloudflare, rendez-vous sur cloudflare.com/connectivity-cloud. Pour découvrir les nouvelles tendances et informations concernant Internet, rendez-vous sur radar.cloudflare.com.
Suivez-nous : Blog | X | LinkedIn | Facebook | Instagram
Déclarations prospectives
Le présent communiqué de presse contient des déclarations prospectives au sens de la section 27A de la loi Securities Act de 1933, dans sa version modifiée, et de la section 21E de la loi Securities Exchange Act de 1934, dans sa version modifiée, lesquelles déclarations comportent des incertitudes et risques substantiels. Dans certains cas, les déclarations prospectives peuvent être identifiées par la présence de mots tels que « peut », « sera », « devrait », « s'attend à », « étudie », « planifie », « prévoit », « pourrait », « a l'intention de », « vise », « projette », « envisage », « considère », « estime », « prédit », « potentiel » ou « continue » ou de la forme négative de ces mots ou d'autres termes ou expressions similaires concernant les attentes, la stratégie, les plans ou les intentions de Cloudflare. Toutes les déclarations prospectives ne contiennent cependant pas les termes identificateurs suscités. Les déclarations prospectives exprimées ou sous-entendues dans ce communiqué de presse comprennent, sans s'y limiter, les déclarations à l'égard des plans et des objectifs de Cloudflare, le réseau mondial de Cloudflare ainsi que les produits et technologies de Cloudflare, le développement technologique, les opérations, la croissance, les initiatives ou les stratégies futures de Cloudflare, de même que les commentaires formulés par le Head of EMEA de Cloudflare et d'autres personnes. Les résultats réels peuvent différer sensiblement des résultats énoncés ou sous-entendus dans les déclarations prospectives en raison d'un certain nombre de facteurs, notamment, sans s'y limiter, les risques détaillés dans les documents déposés par Cloudflare auprès de la Securities and Exchange Commission (SEC), comme notre rapport annuel sur formulaire 10-Q déposé le 2 mai 2024, ainsi que d'autres documents susceptibles d'être déposés ponctuellement par Cloudflare auprès de la SEC.
Les déclarations prospectives effectuées dans le présent communiqué de presse concernent uniquement les événements survenus à la date à laquelle sont effectuées lesdites déclarations. Cloudflare ne s'engage aucunement à mettre à jour les déclarations prospectives contenues dans le présent communiqué de presse afin de refléter des événements ou des circonstances postérieurs à la date du présent communiqué de presse ou de refléter de nouvelles informations ou la survenue d'événements imprévus, sauf dans les cas prévus par la loi. Cloudflare peut ne pas parvenir à concrétiser réellement les plans, intentions ou attentes divulgués dans ses déclarations prospectives et le lecteur ne devrait donc pas se fier indûment à ces déclarations.
© 2024 Cloudflare, Inc. Tous droits réservés. Cloudflare, le logo Cloudflare et les autres marques Cloudflare sont des marques commerciales et/ou des marques déposées de Cloudflare, Inc. aux États-Unis et dans d'autres juridictions. Tous les autres noms et marques mentionnés dans le présent document peuvent être des marques commerciales de leurs propriétaires respectifs.