41% des ETI et grandes entreprises françaises sont moins matures en termes de cybersécurité́ qu’elles ne le pensent, selon une étude du cabinet PAC, en partenariat avec le CRiP.

53% des personnes interrogées considèrent le niveau de maturité en cybersécurité de leur entreprise comme élevé. Pourtant, elles sont nombreuses à ne pas avoir mis en place les mesures et dispositifs nécessaires pour l’atteindre. 14% ayant déclaré́ avoir une maturité́ en cybersécurité́ très élevée n’ont même pas établi de cyberstratégie.

Seules 41% de celles ayant mis en place une stratégie de cybersécurité́ impliquent leur direction générale afin de l’aligner sur les objectifs de l’entreprise et seul·e un·e RSSI (Responsable de la Sécurité des Systèmes d’Informations) sur cinq reporte au comité de direction.

62% des entreprises du panel consacrent moins de 5% de leur budget IT à la cybersécurité́. La grande majorité a prévu de rattraper ce retard au cours des deux prochaines années et 52% prévoient d’augmenter le budget dédié de plus de 10%.

La sensibilisation et la formation des collaborateur·rice·s ont été mises en place par 65% des entreprises interrogées mais l’efficacité de ces formations dépend avant tout des bonnes volontés. Or, la résistance au changement figure parmi les principaux défis évoqués, suivis de la complexité du paysage informatique et de la pénurie des talents.

Une entreprise sur deux a mis en œuvre des dispositifs de gestion de crise et de cyber-résilience mais l’étude pointe des lacunes au niveau de la mise en place de technologies essentielles telles que les dispositifs de gouvernance, risque, et conformité́ qui ne sont mis en œuvre que par une entreprise sur deux. De même, des dispositifs de sécurité du cloud ne sont mis en place que par 44% des répondant·e·s.

Quant aux dispositifs SOC (Security Operations Center), zero trust (SASE – Secure Access Service Edge), « passwordless » ou d’authentification multifactorielle et contextuelle, ils sont adoptés par moins d’un tiers des entreprises interrogées.

Méthodologie de l’étude

L’étude PAC sur la cybersécurité en France a été sponsorisée par Sopra Steria et Inetum. Elle a été réalisée en partenariat avec le CRiP. L’échantillon représentatif est composé de 350 grandes entreprises (43%) et ETI (54%) françaises, de divers secteurs. Les participant·e·s sont impliqué·e·s dans les prises de décision concernant la cybersécurité́ de leur entreprise.