• 100 % des entreprises du CAC 40 adressent le risque cyber et plus de 9 entreprises sur 10 communiquent sur des investissements dans le domaine.
  • Les entreprises du CAC 40 font la course en tête au niveau international (devant les Etats-Unis et le Royaume-Uni notamment).
  • Les dirigeants sont de plus en plus impliqués (60% des entreprises du CAC 40 avec une progression de 10% par rapport à 2019).
  • A noter, les structures de contrôle se développent de manière exponentielle avec 93% des organisations qui procèdent à des audits spécifiques sur le volet cyber (+45 points VS l’étude 2019)
  • La cybersécurité peine encore à intégrer les sujets d’innovation, y compris la 5G et le quantique.
  • Avec le COVID-19 les entreprises sont confrontées à un dilemme : la réduction ou la consolidation des budgets face à une évolution majeure des méthodes de travail comme le montre l’analyse des communications financières depuis le début de la crise.

 

La multiplication des attaques et l’évolution des règlementations ont incité les entreprises à développer une véritable culture du risque et à investir davantage dans des dispositifs de cybersécurité. Toutefois, même si la France est dans le peloton de tête des pays les plus actifs sur le sujet, les différents éléments évoqués ne couvrent que partiellement les risques. Les efforts sont à porter en particulier sur l’implication du comité exécutif et sur l’intégration de la sécurité dans les projets métiers et d’innovation afin de sortir la cybersécurité d’un simple sujet informatique…

C’est ce que révèle l’étude du cabinet Wavestone sur les niveaux de maturité des entreprises dans le domaine de la cybersécurité. Pour cette nouvelle édition, les experts ont analysé les communications financières (notamment via leur rapport annuel et leur document de référence mais également les communications spécifiques au COVID-19), publiés au 1er juin 2020, de 290 entreprises cotées dans le principal indice boursier des pays où Wavestone est présent : CAC 40, Dow Jones, FTSE 100 au Royaume Uni, BEL 20 en Belgique, SMI en Suisse, HSI à Hong-Kong et STI à Singapour. Les résultats de cette étude unique donnent un aperçu du niveau de maturité déclaré des entreprises et de son évolution, sur différents aspects : implication des comités exécutifs, investissements en cybersécurité, RGPD…

 

Cybersécurité : Le CAC 40 atteint l’âge de la maturité dans le domaine…

Pour évaluer le niveau de maturité des entreprises dans le domaine de la cybersécurité, les équipes du cabinet ont mis au point le Wavestone’s Cybersecurity Index of Top Companies. Celui-ci permet d’évaluer les enjeux et les risques, la gouvernance et la réglementation, ainsi que les actions de protection mises en place dans les entreprises. Sur la base de cet index, les entreprises du CAC 40 qui avaient atteint la moyenne en 2018 progressent de manière homogène quel que soit le secteur en 2019 (12,0/20 + 2pts VS 2018).

Ainsi, ce sont toujours 100 % des entreprises du CAC 40 qui mentionnent les enjeux de sécurité dans leur rapport annuel et investissent davantage dans la mise en place de plan d’action de cybersécurité (+13pts VS 2018). Ce sujet d’importance pour les entreprises concerne toujours plus de comités exécutifs :  60% (+10pts VS 2018) des groupes du CAC 40 adressent la problématique de la cybersécurité au niveau du comité exécutif.

 

« Les responsables cybersécurité réussissent de plus en plus à échanger avec les dirigeants, et au-delà de la sensibilisation de vraies actions sont lancées » précise Gérôme BILLOIS.

Une progression qui se poursuit également dans la prise de fonction de DPO (Data Protection Officer) au sein des entreprises (80 % en 2019 +10pts VS 2018).

Les entreprises investissent aussi dans la sensibilisation et la formation des collaborateurs aux enjeux de la sécurité informatique, 80% des entreprises parlent de programme de sensibilisation (+25pts VS 2018) et certaines vont même jusqu’à sensibiliser leurs fournisseurs.

 

 

… avec un renforcement des contrôles de sécurité au travers d’audit cyber…

Les entreprises investissent davantage sur les moyens d’identification de la menace et de leurs faiblesses. Aujourd’hui, 93% des entreprises disent avoir réalisé des audits ou des contrôles sur leurs systèmes d’information dont 10% déclarent bénéficier d’une équipe interne dédiée à l’audit de sécurité.

 

… néanmoins, la cybersécurité peine à intégrer les sujets d’innovation

Seules 13 entreprises mentionnent la prise en compte de la cybersécurité dans leurs sujets de transformation numérique (+8 VS 2018).

L’Intelligence Artificielle (IA) est à l’honneur avec 7 (+5 VS 2018) d’entre elles qui s’appuient sur la cybersécurité pour déployer une IA de confiance. L’Internet des Objet (IoT) de plus en plus au cœur de la transformation (+20pts VS 2018) des métiers atteint la seconde place avec 4  entreprises (+2 VS 2018) qui mentionnent la prise en compte de la sécurité. Enfin la 5G et la blockchain complètent le podium avec seulement une mention de l’intégration de la sécurité dans ces sujets. Le quantique est encore très peu cité.

« Malheureusement, les innovations portées dans les entreprises n’intègrent qu’encore trop peu la cybersécurité et cela fait courir un risque pour les années futures… » ajoute Gérôme BILLOIS.

 

Le CAC 40 prend la tête des entreprises les plus matures dans la prévention des cyber-risques dans le monde

Parmi les 290 entreprises analysées sur les 7 places de marché (CAC 40, Dow Jones, FTSE 100, BEL 20, SMI, HSI et STI), le CAC 40 se place en tête des entreprises les plus matures sur la prise en compte de la cybersécurité dans les communications financières (12,0/20), les Etats-Unis sont juste derrière (11,2/20).

 

Si la France et les Etats-Unis s’illustrent dans le secteur de la finance, c’est le secteur des technologies de l’information qui dominent au Royaume-Uni et en Belgique.

Les résultats dévoilent aussi des cultures et des pratiques différentes autour de la cybersécurité : c’est au Royaume-Uni que l’implication du COMEX sur les problématiques en lien avec la cybersécurité est le plus fréquemment cité dans les rapports d’activité des entreprises (68%), devant les Etats-Unis (61%), la France (60%) et la Belgique (45%). De plus, avec 51% de mentions faites sur les niveaux d’investissements en matière de cybersécurité, le Royaume-Uni valorise les investissements via des programmes de cybersécurité, contre 43% en France et aux Etats-Unis et 40% en Belgique.

Depuis l’entrée en vigueur du règlement général sur la protection des données européen (RGPD), les entreprises françaises du CAC 40 mettent la Privacy à l’honneur, en affichant leurs ambitions sur la problématique dans l’ensemble de leurs rapports d’activité.

L’exemple français a suscité un éveil des autres pays européens sur la mise en place du RGPD, ce sont toutefois les Etats-Unis (93%) qui se rapprochent de la France (100%) dans le domaine de la Privacy, suivis par la Belgique (90%) et le Royaume-Uni (86%).

 

 

Le COVID-19, la sécurité sanitaire au détriment de la cybersécurité ?

Cette année dans le cadre de l’étude, une analyse spécifique a été apportée à l’impact de la crise sanitaire vis-à-vis des enjeux cyber sur la base des communications financières du premier trimestre 2020.

La situation est ambivalente. Des entreprises annoncent déjà des réductions significatives des coûts opérationnels et plus spécifiquement sur la partie numérique. Néanmoins, certaines entreprises (5) ont déjà communiqué sur des investissements de fiabilisation de leurs systèmes d’information, notamment dans le cadre de la généralisation du télétravail. Seules 2 entreprises mentionnent une activité plus importante des attaques cyber dans le contexte actuel.

« Cette ambivalence se confirme dans les nombreux échanges que nous avons pu avoir avec les responsables cybersécurité, les prochains mois vont être difficiles entre des baisses de budget généralisées et l’impérieuse nécéssité de sécuriser le télétravail simultanément avec le retour au bureau » conclut Gérôme BILLOIS.

 

 

Notre expert, Gérôme Billois se tient à votre disposition

pour vous commenter les résultats de l’étude et apporter son analyse sur le sujet

 

Gérôme BILLOIS, Partner au sein du cabinet Wavestone, a plus de 15 ans d’expérience dans le conseil en cybersécurité et gestion des risques numériques. Il est diplômé de l’Institut national des Sciences appliquées de Lyon. Depuis 2001, il a piloté de nombreux projets pour des grands comptes internationaux incluant la définition de stratégie cyber sécurité pour permettre une transformation numérique en toute confiance et le pilotage de programmes de lutte contre la cybercriminalité. Il a animé et participé à des cellules de gestion de crise suite à des cyberattaques. Il anime également des conférences et donne des cours dans les grandes écoles (INSA, Télécom Sud Paris…).

 

 

Méthodologie de l’étude

Cette étude repose sur une analyse factuelle des derniers rapports annuels et documents de référence, publiés au 01/06/2020 de 290 entreprises cotées sur les places de marché où le cabinet Wavestone est présent : CAC 40, Dow Jones, FTSE 100, BEL 20, SMI, HSI et STI. L’analyse se fonde uniquement sur les éléments présentés dans ces documents. Il est à noter que ces documents ne reflètent pas toujours l’exhaustivité des actions menées sur le terrain.