La cybersécurité est au cœur de l’actualité et de l’évolution de la réglementation. Elle constitue un enjeu majeur pour les entreprises qui doivent mettre en place des actions pour se protéger. Comment les plus grandes entreprises françaises s’emparent-elles du sujet et comment cela se reflète-t-il dans leurs rapports annuels ?
L’Autorité des marchés financiers (AMF) obligent depuis 2009 les entreprises à préciser les facteurs risques dans leurs rapports annuels. Nous avons donc souhaité mesurer le niveau de prise en compte des risques SI en réalisant pour cela une étude comparative des rapports annuels des entreprises du CAC40 sur les années 2010 (première année où l’obligation a été prise en compte) et 2013 (rapports les plus récents). L’étude a été réalisée en se basant sur les rapports et documents de référence disponibles au 15 mai 2014.
Elle nous a permis d’identifier le niveau de prise en compte des enjeux cyber par ces entreprises et les actions mises en place pour se protéger.
Une prise en compte de la cybersécurité en forte augmentation mais qui reste « timorée »
L’analyse des rapports montre une prise en compte forte des enjeux cybersécurité par les entreprises dès l’année 2010, avec une augmentation en 2013 : en 2013, 95% des entreprises mentionnent une stratégie SSI contre 73% en 2010. Le terme « cyber » en lui-même apparait dans plus de 50% des rapports annuels. La prise en compte des problématiques cybersécurité en France est donc quasi unanime. En comparaison, au Royaume-Uni, il apparait que seules 60% des entreprises du FTSE100 mentionnent la problématique des risques SI. Ce chiffre est cependant à nuancer car la base de comparaison de ces deux études est différente (40 entreprises au CAC vs 100 au FTSE).
La part des entreprises ayant initié des actions pour faire face aux risques SSI est également croissante : elle est passée de 45% en 2010 à 78% en 2013.
Malgré cette prise en compte de plus en plus croissante, les entreprises sont encore peu loquaces dès lors qu’il s’agit de mentionner les incidents cyber dont elles ont pu être victimes. Deux entreprises uniquement le précisent, alors qu’elles sont beaucoup plus nombreuses à en avoir été victimes (publiquement ou non). Ce sujet est encore tabou ; l’évolution du cadre réglementaire à venir dans les prochaines années devrait changer la donne.
Des informations hétérogènes dans les rapports de 2013
Ces rapports mettent en lumière les sujets clés pour les entreprises aujourd’hui. Beaucoup mentionnent la nécessité de l’ouverture de leurs systèmes d’information, de la protection des données personnelles et les évolutions organisationnelles et technologiques que cela pourrait entraîner. Les impacts du Big Data, du Cloud Computing ou du BYOD sont cités dans plus de la moitié des rapports.
Les entreprises précisent également les menaces auxquelles elles doivent faire face. Une trace du passé subsiste car encore beaucoup de rapports mentionnent les virus. Mais pour la majorité des entreprises, l’espionnage industriel et l’évolution de la cybercriminalité apparaissent comme des craintes fortes : ces deux tendances sont présentées comme des menaces pesant sur l’entreprise. À noter, un réalisme de plusieurs acteurs qui indiquent subir ou pouvoir subir des pertes dues à ces menaces, malgré les efforts de protection et la prise en compte de ces risques. Le message semble s’être bien diffusé : l’invulnérabilité n’existe pas en matière de cybercriminalité. Cette prise en compte se manifeste également par la mention de normes, standards internationaux ou recommandations faites par des acteurs comme l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) ou l’Organisation Internationale de Normalisation (ISO), même si seules cinq entreprises mentionnent utiliser ces normes. Ce chiffre qui peut paraitre faible par rapport à la réalité observée sur le terrain.
Le sujet de la sécurité des SI industriels reste le parent pauvre des rapports. Alors qu’il concerne la moitié des entreprises du CAC 40, seules 3 le mentionnent dans leur rapport.
Il est également intéressant de relever que la nature de la cible des rapports annuels (actionnaires, investisseurs) modifie la nature des messages. Plus que de projets techniques de sécurisation, les entreprises parlent de gouvernance sécurité et de contrôle interne. Le niveau de prise en compte est également très variable dans le vocabulaire utilisé et la précision des termes employés. Il doit cependant être relativisé considérant le degré d’implication des fonctions sécurité dans la rédaction des rapports… et la sensibilisation encore jeune des fonctions communication et financière responsables de ces documents aux problématiques sécurité. Les informations communiquées et le niveau de détails des programmes mis en œuvre est également très variable : de quelques lignes mentionnant le risque … à des extraits des méthodologies utilisées.
Quelles évolutions attendre dans les rapports de 2014 ?
Plus personne ne nie aujourd’hui l’enjeu cybersécurité. Les entreprises semblent ainsi de plus en plus conscientes des impacts potentiels et agissent afin de se protéger. Des efforts de transparence sont cependant encore à réaliser, particulièrement concernant la notification des incidents et leur mention.
La prise en compte de la cybersécurité devrait encore connaître une augmentation forte entre 2013 et 2014, du fait de la succession des incidents mais aussi de la promulgation de la Loi de Programmation Militaire, qui entraîneront mécaniquement des actions dans les entreprises concernées (notamment les Opérateurs d’Importance Vitale).
[Article rédigé sur la base d’une étude réalisée par Oumeima Guessous, Pierre-Alain Pocquet et Victor Stril, consultants]