Des dirigeant-e-s unis pour préparer le cyber-avenir

Conclusions suisses de l’enquête Global Digital Trust Insights 2023

Un nouveau monde plein d’audace s’immisce dans les affaires.

Sous l’impulsion d’événements totalement imprévisibles, les dirigeant-e-s ont, ces dernières années, amené leur entreprise – et leur propre personne – à sortir de leur zone de confort : du bureau à des lieux de télétravail , en passant par le cloud ou des chaînes d’approvisionnement presque entièrement numériques. Et avec chaque nouvelle initiative, de nouveaux cyber-risques sont apparus.

Les résultats de notre enquête Global Digital Trust Insights 2023 – qui reflète les opinions de plus de 3500 chefs d’entreprise, responsables de la sécurité et de l’informatique de différents secteurs dans plus de 60 pays – montrent que la cybersécurité est devenue un domaine dynamique qui s’adapte et évolue rapidement pour suivre l’ingéniosité des entreprises.

Les responsables des systèmes d’information (CISO) prennent l’initiative et obtiennent le feu vert pour diriger véritablement. Ils quittent leur rôle de cyberspécialistes indépendants pour devenir des partenaires, ne travaillant plus seulement avec quelques cadres, mais avec l’ensemble de la direction et du conseil d’administration. Cette collaboration n’a jamais été aussi importante.

Télécharger l’étude

Les règles du jeu ne cessent de changer.

La bonne nouvelle en premier lieu : les CISO et les cyberéquipes ont relevé le défi et d’autres cadres de la direction se sont joints à eux. Plus de 70 % des personnes interrogées ont observé des améliorations en matière de cybersécurité au cours de l’année écoulée.

Mais avec des systèmes de plus en plus connectés et des données de plus en plus nombreuses – et des adversaires de plus en plus organisés, les cyber-risques augmentent et les chefs d’entreprise ont beaucoup plus faire. Dans le même temps, ils doivent faire face à un environnement économique et commercial difficile.

Moins de 40 % des personnes interrogées déclarent avoir totalement atténué les risques encourus par leurs actions audacieuses depuis 2020. Le travail à distance et le passage au cloud ont suscité le plus d’intérêt au niveau mondial, les grandes entreprises (dont le chiffre d’affaires dépasse 1 milliard de dollars) et celles basées en Amérique du Nord étant nettement plus susceptibles de déclarer avoir atténué ces risques.

Atténuation des cyber-risques

Les entreprises suisses doivent améliorer leur cybersécurité.

La Suisse est à la traîne, notamment en ce qui concerne l’adoption du cloud et les risques liés à l’utilisation croissante de l’Internet des objets (IoT). Alors que 84 % des personnes interrogées à l’échelle mondiale disent avoir accéléré l’adoption du cloud, ce chiffre n’est que de 71 % en Suisse. La différence est encore plus grande lorsqu’il s’agit d’atténuer les cyber-risques liés à l’IoT : 79 % au niveau mondial, mais seulement 49 % en Suisse, ont fait état de progrès significatifs. En ce qui concerne les cyber-risques liés à la pénétration de nouveaux marchés, seule la moitié des répondant-e-s suisses les ont totalement ou relativement atténués, alors que ce chiffre s’élève à 79 % au niveau mondial.

Moins de 40 % ont totalement atténué les cyber-risques émergents
Cela correspond-il à notre expérience et à notre représentation de la situation des entreprises en Suisse ?

Le niveau général de consensus dans l’enquête selon lequel les entreprises ont totalement ou relativement atténué leurs risques est surprenant. Les organisations suisses évaluent systématiquement leurs capacités à un niveau inférieur, ce qui me semble plus réaliste. Si la plupart des organisations ont augmenté leurs dépenses et investissent dans la résilience, le fait est que de nombreux risques n’ont pas encore été traités de manière adéquate. L’augmentation continue des attaques réussies entraînant des perturbations massives des activités en est l’un des indicateurs.

Yan Borboën, Associé, Digital Assurance & Cybersecurity and Privacy, PwC Suisse

Les auteurs de menace

Augmentation significative des attaques contre les entreprises est attendue.

Dans le paysage actuel des menaces, les nouvelles signalant de nombreuses attaques réussies sont omniprésentes. Il n’est donc guère étonnant que les cadres supérieurs en Suisse s’inquiètent de voir leur entreprise en danger et ne soient probablement pas totalement préparés à faire face à ces menaces accrues. 73 % des dirigeant-e-s suisses considèrent que les cybercriminels constituent la plus grande menace pour leur organisation en 2023 ; sur le plan mondial, « seulement » 65 % partagent cette opinion. Il est intéressant de noter que les concurrents sont moins considérés comme une menace pour leur entreprise que les cybercriminels – en Suisse encore moins qu’au niveau mondial.

Les entreprises s'inquièetent d'un nombre croissant de menaces et de cyber-événements en 2023

L’enquête Global Digital Trust Insights 2023 fournit également des indications sur les voies des attaques : si les appareils mobiles (41 %), les e-mails (40 %), les voies fondées sur le cloud (38 %), les applications en ligne (37 %) et les attaques internes ou l’ingénierie sociale (37 %) figurent en tête du classement international, les répondant-e-s suisses voient le danger des attaques différemment. Ils ou elles considèrent les e-mails (66 %), les personnes (47 %) et les applications en ligne (44 %) comme les points d’entrée les plus probables des cybercriminels. La grande différence dans l’évaluation du danger potentiel des e-mails est probablement due, entre autres, à un taux d’adoption du cloud plus faible : les entreprises suisses envoient encore fréquemment des documents par e-mail.

Il existe également des différences dans l’évaluation des menaces en fonction de la taille de l’entreprise. Les grandes organisations sont nettement plus susceptibles d’être touchées par des attaques via la chaîne d’approvisionnement des logiciels (35 %), les voies fondées sur le cloud (43 %) et les technologies opérationnelles (29 %) que les petites entreprises.

Voies des attaques
Quelle est notre évaluation des auteurs de menace et de leurs points d’entrée en Suisse ?

Les entreprises citent les cybercriminels comme la plus grande menace pour leur organisation, ce qui correspond à nos observations. Toutefois, nous sommes quelque peu surpris de constater que les e-mails soient classés si bas – 40 % au niveau mondial – en tant que passerelles pour les cyberattaques. Bien que d’autres facteurs soient également importants, si l’on considère les attaques réussies, les e-mails restent le point d’entrée numéro un dans toutes les attaques que nous observons. En revanche, il n’est pas surprenant que les risques liés à la chaîne d’approvisionnement et aux logiciels de tiers suscitent une inquiétude croissante, nous avons en effet constaté une augmentation significative de ces attaques en 2022. La compréhension et l’intégration de la technologie opérationnelle (TO) dans la gestion de la sécurité en sont encore à leurs balbutiements et de nombreux risques ne sont pas encore correctement compris ou traités. La convergence de la technologie de l’information (IT) et de la technologie opérationnelle n’en est qu’à ses débuts dans de nombreuses entreprises. Il est par ailleurs nécessaire de mettre l’accent sur la TO dans les infrastructures critiques, également en Suisse.

Yan Borboën, Associé, Digital Assurance & Cybersecurity and Privacy, PwC Suisse

Cyber événements

Les logiciels rançonneurs (ransomware) restent la menace numéro 1, pour les entreprises suisses également.

Les scénarios d’attaque dans l’espace numérique devenant plus complexes et mieux organisés, les entreprises doivent se préparer au fait que les cybercriminels sont de plus en plus structurés. Ils utilisent de plus en plus d’outils prêts à l’emploi et peuvent perpétrer et orchestrer des attaques très variées. Les attaques par ransomware ont conservé leur rang de menace numéro 1 pour la cybersécurité des entreprises l’année dernière, et ce dans toutes les régions et tous les secteurs. Que nous réserve l’avenir ?

Au niveau mondial, un tiers des dirigeant-e-s s’attend à ce que le nombre de compromissions d’e-mails professionnels et de piratages de compte, de ransomware et d’attaques contre les interfaces de gestion par cloud augmente entre 2022 et 2023. Les répondant-e-s suisses sont particulièrement préoccupés par les attaques par ransomware, plus de la moitié s’attendant à une augmentation des cyberincidents liés aux logiciels rançonneurs.

En termes de sécurité, les violations tierces et les attaques de chaîne d’approvisionnement représentent un autre problème majeur ; les cybercriminels qui cherchent à cibler de grandes entreprises ou à perturber des infrastructures critiques tentent de plus en plus d’agir en compromettant d’abord les fournisseurs.

Cyber événements
Alors que les cyberincidents les plus courants dans le monde sont la compromission d’e-mails professionnels et les piratages de compte, en Suisse, le ransomware conserve une très nette avance. Comment explique-t-on ce constat ?

Ce constat corrobore les réponses obtenues à la question sur les « voies des attaques ». Nous observons toutefois que plusieurs événements sont utilisés dans le parcours « normal » d’une attaque par ransomware, tandis que d’autres sont des menaces supplémentaires ou parallèles. La différence d’évaluation du ransomware au niveau mondial et en Suisse est assez intéressante. D’autant que le nombre d’attaques par logiciel rançonneur a encore augmenté au cours des neuf premiers mois de 2022, tant au niveau mondial qu’en Suisse. La crainte des attaques du cloud, qui est plus élevée en Suisse, constitue une autre différence notable. Cette évaluation pourrait avoir un impact sur les projets de migration vers le cloud ou expliquer pourquoi l’adoption du cloud est à la traîne en Suisse.

Yan Borboën, Associé, Digital Assurance & Cybersecurity and Privacy, PwC Suisse

Reporting et communication

La cybersécurité passe par la collaboration.

46 % des CEO souhaitent donner au CISO les moyens de collaborer avec la direction sur les questions de sécurité l’année prochaine. Un bon reporting et une bonne visibilité sur la cybersécurité sont les clés d’une collaboration réussie, ce qui est essentiel en matière de sécurité. Le ou la CEO et le conseil d’administration jouent par ailleurs un rôle central dans le lancement et l’amélioration des programmes de sécurité. Alors qu’au niveau mondial, l’implication du conseil d’administration arrive en tête et le ou la CEO en second lorsqu’il s’agit de s’adresser aux parties prenantes, c’est le ou la CEO qui arrive en tête en Suisse. Au niveau mondial comme en Suisse, les participants à la chaîne d’approvisionnement et de valeur occupent la troisième place.

Et qu’en est-il de la capacité des organisations à divulguer en externe leurs cyberpratiques, stratégies et incidents ? Un peu plus de quatre répondant-e-s sur cinq dans le monde et en Suisse déclarent que leur organisation est en mesure de fournir les informations requises sur un incident majeur ou significatif dans le délai de déclaration imparti après l’incident. Les dirigeant-e-s suisses sont en moyenne moins confiants que leurs homologues internationaux, notamment en ce qui concerne la communication de la gestion des cyber-risques tiers.

La communication aide tout le monde.

La communication profite à tout le monde et les entreprises peuvent tirer des enseignements des attaques des autres entreprises. Quatre organisations sur cinq dans le monde conviennent que la communication obligatoire des cyberincidents, dans des formats comparables et cohérents, est nécessaire pour gagner la confiance des parties prenantes – en Suisse, ce chiffre s’abaisse à deux entreprises sur trois.

Les entreprises suisses indiquent qu’elles souhaiteraient plus de clarté sur les pratiques de communication. Elles ne considèrent pas qu’une exigence de communication plus stricte – par rapport aux concurrents mondiaux et européens – constitue un désavantage concurrentiel, et elles sont disposés à partager des informations avec les autorités chargées de l’application de la loi.

Capacité de l'entreprise à communiquer en externe ses pratiques, stratégies et incidents
Quelle est la position des entreprises suisses sur la communication obligatoire des cyberincidents ?

Contrairement à ce qui se passe à l’étranger, il n’y a pas de tendance claire parmi les réponses des représentant-e-s suisses qui indiquerait que les entreprises souhaitent des modifications législatives concernant l’obligation de signaler les incidents de sécurité. L’étude que nous avons réalisée pour le gouvernement suisse sur le reporting de sécurité obligatoire présente le même tableau partagé. Pourquoi ? Ce qui a fait ses preuves à l’étranger n’est pas nécessairement applicable directement à la Suisse. Contrairement à d’autres pays, où les entreprises et les pouvoirs publics ont du mal à s’asseoir à la même table au nom du principe de légalité et n’échangent donc que rarement des informations de manière volontaire, en Suisse, le partenariat public-privé a fait ses preuves depuis de nombreuses années. En outre, le seul reporting ne suffirait pas – un concept sur la manière de partager efficacement les informations serait nécessaire pour accroître la sensibilisation et la résilience.

Yan Borboën, Associé, Digital Assurance & Cybersecurity and Privacy, PwC Suisse

Découvrez comment vous vous situez par rapport à vos pairs, dès maintenant

Exploitez notre outil d’évaluation comparative de la cybersécurité et de la protection de la vie privée afin d’obtenir des informations en temps réel sur les performances de votre organisation (seulement disponible en anglais).

Obtenez l’enquête
 

« Malgré tous les progrès accomplis par les organisations pour améliorer leurs programmes de cybersécurité, il reste encore beaucoup de chemin à parcourir. L’augmentation de la résilience contre les cyberattaques dépend également beaucoup de la formation et de l’amélioration. Cela dit, les investissements seuls ne suffisent pas, il faut une mentalité continue de « mise en œuvre, formation, perfectionnement et adaptation ». De nouvelles thématiques apparaissent constamment, la chaîne d’approvisionnement et l’IoT / la TO sont les prochains défis à analyser et à relever. »

Yan Borboën,Associé, Digital Assurance & Cybersecurity and Privacy, PwC Suisse

Téléchargez l’enquête

Le guide de la cybersécurité et de la protection des données à l’intention des dirigeants, qui présente notre dernière enquête, Global Digital Trust Insights, met en lumière ce qui nous attend en 2023 et présente comment les cadres peuvent collaborer pour préparer le cyber-avenir.

https://pages.pwc.ch/core-asset-page?asset_id=7014L000000YK2GQAW&embed=true&lang=fr

À propos de l’enquête

L’étude 2023 Global Digital Trust Insights est une enquête qui a été menée en juillet et août 2022 auprès de 3522 dirigeant-e-s d’entreprise et directeurs ou directrices de la technologie et de la sécurité (CEO, directeurs ou directrices d’entreprise, CFO, CISO, CIO et dirigeant-e-s). Les femmes cadres représentent 31 % de l’échantillon.

Cinquante-deux pour cent des répondant-e-s sont des cadres de grandes entreprises (chiffre d’affaires de 1 milliard de dollars et plus) ; 16 % travaillent pour des entreprises ayant un chiffre d’affaires supérieur ou égal à 10 milliards de dollars.

Les personnes interrogées opèrent dans une large gamme d’industries : Fabrication industrielle (24 %), Technologie, médias, télécommunications (21 %), Services financiers (20 %), Marchés de détail et de consommation (18 %), Énergie, services publics et ressources (9 %), Santé (5 %), et Gouvernement et services publics (3 %).

Les personnes interrogées sont basées dans différentes régions : Europe occidentale (31 %), Amérique du Nord (28 %), Asie-Pacifique (18 %), Amérique latine (12 %), Europe de l’Est (5 %), Afrique (4 %) et Moyen-Orient (3 %).

Le nom officiel de l’enquête Global Digital Trust Insights est Global State of Information Security Survey (GSISS).

PwC Research, le centre d’excellence mondial de PwC pour les études de marché et la prospective, a réalisé cette enquête.

La confiance, facteur clé de réussite

Faites confiance à une équipe qui, lors de la transformation de votre entreprise, réfléchit avec vous à des solutions de cybersécurité appropriées, les implémente et les suit avec vigilance. Travaillons ensemble pour créer durablement de la valeur et inspirer la confiance.

Explorez notre offre

Nous contacter

Yan Borboën

Yan Borboën

Partner Digital Assurance and Cybersecurity & Privacy, PwC Switzerland

Tel : +41 58 792 84 59

Urs Küderli

Urs Küderli

Partner and Leader Cybersecurity and Privacy, PwC Switzerland

Tel : +41 58 792 42 21

Johannes Dohren

Johannes Dohren

Partner, Cybersecurity and Privacy, PwC Switzerland

Tel : +41 58 792 22 20