Seules 2% des entreprises suisses sont parfaitement préparées aux cybermenaces

Au cours des 12 derniers mois, le paysage cybernétique a considérablement évolué, notamment grâce à l'intelligence artificielle (IA). Elle intervient désormais aussi bien dans les cyberattaques que dans les solutions de protection. Les entreprises doivent donc adapter leurs stratégies et architectures de sécurité. Le Cisco Cybersecurity Readiness Index 2024 a déterminé dans quelle mesure les entreprises sont prêtes à relever ces nouveaux défis. Pour ce faire, les entreprises ont été classées en quatre niveaux de maturité sur la base de plus de 8'000 sondages d'experts dans le monde entier : Débutant (Beginner), Constructeur (Formative), Avancé (Progressive) et Mature (Mature). 205 personnes interrogées proviennent également de Suisse. Les personnes interrogées sont responsables des affaires et de la cybersécurité dans leur entreprise et ont donné une auto-évaluation de l'état des capacités de défense et de la technologie utilisée dans leur entreprise. L'enquête a été menée en janvier et février 2024 par le biais d'entretiens en ligne.

Les entreprises suisses surestiment leur capacité de défense

La nouvelle étude suggère que les entreprises suisses surestiment leur propre capacité à se protéger contre les menaces actuelles ou sous-estiment la situation en matière de cybermenaces. Les résultats montrent que seulement 1,95 % des entreprises suisses disposent d'une structure de sécurité suffisamment mature pour être préparées au mieux aux menaces actuelles. Il y a un an, ce chiffre était encore de 9 %. Si l'on regroupe les deux plus hauts niveaux de maturité "Mature" et "Progressive", les entreprises suisses occupent, avec 24 pour cent, la troisième place en comparaison européenne, derrière la Grande-Bretagne et l'Allemagne. Néanmoins, 81 % des entreprises en Suisse sont modérément à très confiantes dans leur capacité à contrer une cyberattaque avec leur infrastructure actuelle.

Il n'est pas surprenant que l'état de préparation soit également corrélé à la taille d'une organisation, étant donné que davantage de budget et de personnel peuvent être consacrés à la cybersécurité. Les entreprises de plus de 1'000 collaborateurs présentent un degré de maturité plus élevé, les entreprises de taille moyenne (250-1'000 collaborateurs) se situent légèrement derrière. Ce constat est valable dans le monde entier et dans tous les secteurs d'activité. L'étude a révélé que les secteurs les mieux préparés sont les services financiers, la technologie ainsi que l'industrie manufacturière - tous avec 30 % ou plus dans les catégories supérieures "Mature" et "Progressive". Le secteur de l'éducation, par exemple, a encore du retard à rattraper.

Les chiffres de l'Office fédéral de la cybersécurité (OFCOM) montrent également à quel point il est important de sécuriser les systèmes informatiques. Les déclarations de cyberincidents ont tendance à augmenter. "Il y a un besoin urgent pour les entreprises de repenser leurs stratégies de sécurité et de s'adapter à la réalité des cybermenaces actuelles", explique Roman Stefanov, Head of Cyber Security Sales chez Cisco Suisse. Selon l'étude, 45% des entreprises suisses interrogées ont subi une cyberattaque au cours des 12 derniers mois.

La Suisse sur la bonne voie en matière d'IA

"Un signe encourageant pour la Suisse est l'utilisation élevée de l'IA pour la cyberdéfense", explique Roman Stefanov. "Déjà près de 40 pour cent utilisent des systèmes basés sur cette technologie avec le plus haut ou le deuxième plus haut niveau de maturité". La protection des réseaux et des machines est satisfaisante avec 32 et 26 pour cent. Il y a toutefois un grand besoin de rattrapage dans les domaines de l'identité et du cloud. Ici, seules 18 et 14 pour cent des entreprises suisses ont un niveau de protection suffisant.

La protection des identités d'entreprise est alors citée par les entreprises suisses comme le plus grand défi (39%), avant la protection du réseau (30%). "Plus d'un tiers des entreprises suisses ont constaté l'année dernière un incident de cybersécurité impliquant des identités numériques volées", explique Roman Stefanov. "Dans ce contexte de menaces, nous ne devrions plus nous demander si un utilisateur peut avoir accès, mais s'il le devrait".

Deux tiers pensent qu'une cyberattaque aura lieu dans les 12 à 24 prochains mois

Selon l'étude, 66 pour cent des entreprises interrogées pensent qu'une cyber-attaque affectera leur activité au cours des 12 à 24 prochains mois. Malgré ces inquiétudes, 51 % des entreprises déclarent avoir plus de 10 postes vacants dans le domaine de la cybersécurité, ce qui indique une grave pénurie de compétences. Les coûts des incidents sont remarquables : 45 pour cent des personnes interrogées ont déclaré que les incidents passés avaient coûté plus de 500 000 dollars.

La bonne nouvelle, c'est que les entreprises ont augmenté leur budget de sécurité et qu'elles veulent encore l'augmenter. Elles reconnaissent en effet une augmentation des risques due à la numérisation, à des types d'attaques plus variés et à des répercussions financières plus importantes : 86 pour cent des personnes interrogées ont indiqué avoir augmenté leur budget au cours des 1 à 2 dernières années, et près de 80 pour cent prévoient d'augmenter leur budget de plus de 10 pour cent à l'avenir. 92 % prévoient de mettre à niveau ou même de restructurer leur infrastructure informatique pour faire face aux défis à venir en matière de cybersécurité.

Source : Cisco