Cybersécurité : un marché toujours prospère
Sécurité des systèmes d’information. La crise sanitaire a à peine ralenti la croissance du marché de la cybersécurité en 2020, tandis que la multiplication des attaques réussies a fortement stimulé la demande pour cette année.
Sécurité du numérique, un impératif
La cybersécurité est l’un des rares secteurs économiques à profiter de la crise sanitaire. Une situation qui s’explique aisément : les cyberattaques se sont multipliées durant cette période, notamment à cause du développement du télétravail qui a fragilisé l’infrastructure informatique des entreprises et administrations.
Or, comme dans tous les domaines de la sécurité, les investissements sont souvent émotionnels : on constate des pics d’achats par les entités concernées après un attentat terroriste, un incendie ou une catastrophe naturelle.
« La crise sanitaire a montré que la transformation digitale est un moyen de survie pour les entreprises et que le périmètre de sécurité concerné n’est plus seulement l’entreprise elle-même, mais internet », déclare Bruno Caille, directeur technique de Cisco France, filiale du géant américain des serveurs et de la sécurité des réseaux. Il cite la protection des emails et des connexions internet comme priorités absolues. Et de marteler : « Sans prise en compte du risque cyber, une entreprise peut mourir. »
« Le nombre d’attaques est à peu près constant, mais le pourcentage de celles qui réussissent est en augmentation. Être cybercriminel présente finalement peu de risques et cette activité est florissante », souligne de son côté Christophe Auberger, dont la fonction est vulgarisateur (cybersecurity evangelist) chez Fortinet, un autre ténor américain de la cybersécurité.
L’activité des entreprises de cybersécurité a progressé de 7 % en France en 2020, selon les études d’En Toute Sécurité, un peu moins que les +9,4 % enregistrés l’année précédente. Une partie de cet écart résulte d’ailleurs d’un retard dans les nouvelles commandes en raison de la désorganisation de certains donneurs d’ordres au moment du premier confinement, et non pas d’une réelle baisse de la demande.
Dans ce contexte porteur, la baisse des prix des prestations n’est pas vraiment constatée, alors que cela est assez fréquent dans la sécurité électronique ou la surveillance humaine.
Des cibles multiples
À la différence de ce qui se produisait voici une dizaine d’années où les institutions financières étaient particulièrement visées, aucun secteur économique n’est désormais à l’abri d’une attaque informatique. Même les particuliers.
« Les attaques ne visent plus un secteur spécialement. Les cybercriminels, souvent sans grandes compétences, mais dotés de moyens techniques importants, font de multiples tentatives… jusqu’à ce que cela réussisse », explique Christophe Auberger, estimant que 26 % des victimes payent une rançon. À noter que les administrations et autres acteurs de la sphère publique ont d’ailleurs reçu consigne de ne jamais céder au chantage d’un pirate.
Les dommages peuvent monter très vite, indique un rapport de l’éditeur de logiciels de cybersécurité McAfee, corroboré par une étude similaire de Mailinblack : arrêt de l’activité plus ou moins complet et long, réduction de la productivité des salariés, baisse des ventes, atteinte à la réputation, etc.
« Tous les secteurs économiques ont une forte demande en cybersécurité. »
La méthode d’attaque d’un site est souvent reproductible à d’autres sites d’un même secteur, car le système informatique est construit sur le même modèle. C’est par exemple le cas des hôpitaux, considérés par les cybercriminels comme moins bien protégés. D’autant qu’en cette période de restrictions budgétaires et de pandémie, les établissements de santé donnent la priorité aux achats de matériels médicaux et au recrutement de personnel, plutôt qu’à des investissements informatiques.
En 2020, 27 hôpitaux ont subi une cyberattaque, dont certaines ont même provoqué des dysfonctionnements graves, tandis que le rythme des attaques s’est intensifié cette année avec une par semaine.
« Aujourd’hui, tous les secteurs économiques ont une forte demande en cybersécurité, mais les raisons d’investir ne sont pas les mêmes. La finance et les services publics ont toujours été sensibles à ce type de risque, alors que nous sentons un nouvel élan dans le monde de la santé en raison de leur implication durant la pandémie », affirme Paul McKay, analyste spécialisé dans la cybersécurité au cabinet d’études Forrester Research.
« Pas de solution magique contre le risque cyber. »
« L’enjeu ne concerne pas le niveau de technologie utilisé pour les parades, mais la perception des menaces de la part de la direction générale », analyse Bruno Caille, de Cisco France. Il divise les donneurs d’ordres en deux catégories : d’une part, ceux qui ont compris l’enjeu de compétitivité que représente une perte de données et sont donc plus agiles dans leurs décisions et d’autre part, les entreprises à faible maturité, ayant peu de compétences en cybersécurité, un système informatique vieillissant et se concentrant sur des petits problèmes techniques.
« Or, les attentes des clients sont extrêmement fortes en France par rapport à leurs prestataires, si bien qu’ils affichent le plus bas niveau de satisfaction en Europe », déclare Paul McKay, de Forrester Research : il atteint 51 % seulement contre 56 % en Allemagne et 71 % en Grande-Bretagne.
« Il n’existe pas de solution magique pour lutter contre le risque cyber, mais les aspects solutions intégrées et évolution des dispositifs sont des éléments essentiels », met en avant Christophe Auberger de Fortinet.
Avalanche de statistiques
La cybersécurité possède un particularisme évident : son abondance de statistiques. Une situation exceptionnelle dans un univers de la sécurité plutôt avare en chiffres. Les informations publiées sont toutes plus alarmantes les unes que les autres.
Si le risque cyber était un pays, son poids économique en ferait la troisième économie mondiale. Son coût passerait en 2025 à 10 500 milliards de dollars s’il poursuivait sa croissance annuelle de 15 %, selon les estimations de Cybersecurity Ventures, relevées dans le rapport du Club des Juristes publié en avril dernier, qui aligne dix recommandations pour aboutir à une cybersécurité plus efficace.
En France, 90 % des entreprises ont constaté un incident de cybercriminalité en 2019, 43 % étant des PME, selon le ministère de l’Intérieur. Les rançongiciels ont fait l’objet de 400 plaintes au Parquet de Paris en 2020, en hausse de… 543 % et le chiffre pourrait encore doubler cette année.
Les réseaux informatiques domestiques ont tout particulièrement suscité l’intérêt des cybercriminels, avec une augmentation de 209 % en 2020, indique l’étude annuelle mondiale de Trend Micro qui a recensé 2,9 milliards d’attaques contre des particuliers. Au total, 126 000 menaces par minute ont été détectées en 2020, soit une hausse de 20 % par rapport à l’année précédente.
Face à cette déferlante de menaces, 43 % des entreprises se disent prêtes à augmenter leurs budgets pour affronter ces aléas, souligne une étude réalisée par OpinionWay pour le compte du Cesin (Club des experts de la sécurité de l’information et du numérique). Une avalanche de chiffres qui donne le tournis.
La France a une carte à jouer
Dans cette guerre sans merci contre des ennemis invisibles aux profils variés – des groupes terroristes, des états, de simples voleurs –, la lutte est âpre pour assurer sa sécurité numérique. Dans cette course technologique où les États-Unis, la Chine et Israël se positionnent en tête, la France a certainement une carte à jouer.
« L’Agence nationale de la sécurité des systèmes d’information (Anssi) fait un travail remarquable dans l’accompagnement des entreprises, leur permettant d’atteindre une certaine maturité », affirme Bruno Caille. Le soutien des pouvoirs publics « est insuffisant, mais s’améliore sensiblement », tempère Paul McKay, de Forrester Research, citant une lacune importante : le manque d’incitations pour élaborer des solutions nationales mettant en relation des chercheurs, des investisseurs et des entreprises numériques.
Le plan d’un milliard d’euros annoncé par Emmanuel Macron en février dernier va dans le bon sens : il fixe des objectifs ambitieux pour 2025 comme le triplement du chiffre d’affaires de la filière, le doublement des effectifs pour atteindre 75 000 personnes ou l’émergence de trois « licornes » françaises, un concept né dans la Silicon Valley pour désigner des start-up qui ont grossi pour atteindre une valorisation d’un milliard de dollars.
« Les attaques sont mondiales. La concurrence aussi. »
La France « dispose d’une expertise très forte en cybersécurité », estime le directeur technique de Cisco France, entreprise qui a d’ailleurs racheté en 2019 la société lyonnaise Sentryo, spécialisée dans la cybersécurité industrielle. La profession est composée de gros opérateurs – généralement issus du monde des télécoms ou de l’informatique – et de nombreuses startup. « Celles-ci apportent de nouvelles approches mais elles sont peu présentes dans l’intégration de systèmes », affirme Christophe Auberger de Fortinet. Et elles sont trop nombreuses et trop petites, estime Paul McKay de Forrester.
Parmi les poids lourds du secteur, signalons Atos qui a multiplié les acquisitions depuis 2020 au point de figurer parmi les leaders mondiaux. « Les attaques sont mondiales. La concurrence est, elle aussi, mondiale », souligne le responsable de Fortinet.
« La cybersécurité doit devenir un monde moins mystérieux », souligne pour sa part David Ofer, président de la Fédération française de la cybersécurité qui a été créée fin 2020 avec l’ambition de ne pas aborder seulement la dimension technique mais de traiter également « de sujets plus larges comme la formation du personnel, le développement international, le financement des entreprises, la législation ou l’emploi ».
Dans cette logique d’ouverture, la fédération veut d’ailleurs créer des passerelles avec l’univers de la sécurité électronique et de la surveillance humaine, en favorisant la formation et le recrutement de personnels de ces deux domaines pour les intégrer dans la cybersécurité.
Extrait de l’article du n° 573 de Face au Risque : « ERP et Covid-19, l’impact sur la sécurité – sûreté » (juin 2021).
Les plus lus…
Le développement des mobilités électriques, notamment les vélos, trottinettes et voitures, fait peser un risque nouveau tant chez les…
La directive (UE) 2024/2831 du Parlement européen et du Conseil du 23 octobre 2024, relative à l’amélioration des conditions…
D’avis unanime, les JOP 2024 ont été une réussite sur le plan sécuritaire. Durant cet événement inédit, trois projets…
L'arrêté du 31 octobre 2024 relatif à l'analyse des substances per- et polyfluoroalkylées dans les émissions atmosphériques des installations…
Selon un rapport de février 2024 de l’Inspection générale de la police nationale (IGPN), de l’Inspection générale de l’administration…
Le Cesin (Club des experts de la sécurité de l'information et du numérique) appelle à une transposition stratégique et…