La cybersécurité est devenue un enjeu majeur à l’ère du numérique. Face à la multiplication et à la sophistication croissante des cyberattaques, les entreprises et les organisations du monde entier sont confrontées à des défis sans précédent pour protéger leurs systèmes, leurs données et leur réputation. Des failles de sécurité aux violations de données en passant par les rançongiciels, les menaces sont multiples et les impacts potentiellement dévastateurs.
Cet article dresse un état des lieux complet de la cybersécurité, en s’appuyant sur des statistiques et des chiffres clés pour quantifier l’ampleur du phénomène.
Statistiques clés sur la cybersécurité
- Les dommages causés par les rançongiciels ont atteint 18 milliards d’euros en 2021, soit 57 fois plus qu’en 2015.
- 80% des entreprises ont été victimes d’attaques par phishing ou spear phishing.
- L’administration publique/gouvernement est le secteur le plus touché avec 24% des incidents de cybersécurité.
- 78% des entreprises se disent insuffisamment préparées ou l’ignorent face aux cyberattaques.
- 5 037 notifications de violation de données reçues par la CNIL en 2021, représentant une augmentation de 79% par rapport à 2020.
- 62% des entreprises souffrent d’un manque de compétences en sécurité, et 94% considèrent le recrutement en sécurité difficile ou très difficile.
- 167 pays disposent de lois et réglementations en matière de cybercriminalité et de cybersécurité.
- Seulement 42% des entreprises disposent d’un plan de continuité d’activité.
- 92% des entreprises sondées ont eu recours au télétravail total ou partiel, mais 35% estiment que leurs collaborateurs ne sont pas sensibilisés aux risques cybersécurité associés.
- 80% des notifications de violation de données concernent une perte de confidentialité.
Impact financier des cyberattaques
Les cyberattaques représentent aujourd’hui une menace majeure pour l’économie mondiale, avec des impacts financiers considérables tant à l’échelle régionale que mondiale. Les données récentes révèlent une augmentation significative des coûts associés aux incidents de cybersécurité. Analyser les statistiques sur les cyberattaques peut fournir un éclairage essentiel sur l’ampleur de cette menace et les secteurs les plus vulnérables.”
Impact économique par région
- En Afrique, l’incidence financière de la cybercriminalité est estimée à plus de 4 milliards d’USD, soit environ 10% du PIB total du continent
- Les dommages causés par les rançongiciels ont atteint 18 milliards d’euros en 2021, soit 57 fois plus qu’en 2015
Coûts par incident
- Chez Visa Afrique de l’ouest et Afrique centrale, chaque attaque coûte en moyenne 1,2 million de dollars US en perte de revenus
- En 2015, les opérateurs télécoms au Cameroun ont subi un détournement du trafic téléphonique d’un montant de plus de 18 Milliards de FCFA
Sources : Parlement européen 2023, INTERPOL 2024, PwC 2021
Types d’attaques cybernétiques
Les cyberattaques se diversifient et se multiplient, touchant tous les secteurs d’activité. Cette section présente un panorama détaillé des différentes formes d’attaques et leur prévalence dans le paysage actuel de la cybersécurité.
Principales formes d’attaques subies
- 80% des entreprises ont été victimes d’attaques par phishing ou spear phishing
- 52% des entreprises ont été victimes d’attaques par exploitation de failles
- 19% des entreprises ont été victimes d’attaques de type ransomware (6% avec chiffrement de données et 13% avec vol de données)
Impact par secteur d’activité (juin 2021-juin 2022)
- Administration publique/gouvernement : 24% des incidents
- Fournisseurs de services numériques : 13%
- Grand public : 12,4%
- Services : 11,8%
- Finance/banque : 8,6%
- Santé : 7,2%
Sources : OpinionWay 2021, Parlement européen 2023, INTERPOL 2024
Vulnérabilités et incidents de sécurité en entreprise
Les entreprises font face à une multiplication des incidents de sécurité, révélant des vulnérabilités persistantes dans leurs systèmes de défense et leur organisation interne. Cette section analyse les données relatives aux incidents déclarés et leurs causes principales.
Fréquence et types d’incidents
- 57% des entreprises déclarent avoir connu au moins une cyber-attaque en 2020
- 15% des entreprises ont été touchées par un incident de cybersécurité durant les 12 derniers mois
- 37% des entreprises ont détecté des incidents de cybersécurité au cours des 6 derniers mois
Causes principales des incidents
- 24% des incidents sont liés à un hameçonnage
- 18% sont liés au téléchargement d’un virus
- 14% sont liés à une faille de sécurité non corrigée
- 44% des entreprises identifient le Shadow IT comme la principale cause des incidents de sécurité
- 43% des entreprises ne savent pas expliquer les raisons de ces incidents
Niveau de préparation et perception des risques
- 78% des entreprises se disent insuffisamment préparées ou l’ignorent
- 70% des entreprises ne disposent pas de procédure de réaction en cas de cyberattaque
- 62% des entreprises pensent être faiblement exposées aux risques de cyberattaques ou l’ignorent
- 65% des entreprises ne sauraient pas évaluer les impacts d’une cyberattaque
Sources : OpinionWay 2021, Cybermalveillance.gouv.fr, PwC 2021
Gouvernance et stratégie de cybersécurité
La gouvernance et la stratégie de cybersécurité sont devenues des éléments cruciaux pour les organisations. Cette section analyse l’état actuel de l’organisation et des investissements en matière de cybersécurité au sein des entreprises. Intégrer un réseau de professionnels en cybersécurité permet d’accéder à des ressources, des retours d’expérience et des conseils pour renforcer efficacement les stratégies de sécurité.
Structure organisationnelle
- Plus de 20% des organisations n’ont pas de responsable de la sécurité de l’information
- 70% des organisations s’appuient sur un modèle centralisé de gestion de la cybersécurité
- 40% des entreprises n’ont pas une stratégie documentée et approuvée en sécurité de l’information
Reporting et évaluation
- Plus de 33% des organisations ne rendent pas compte mensuellement ou trimestriellement au C.A. ou à la direction
- Près de 40% des entreprises n’évaluent pas leur performance en sécurité de l’information
- Plus de 80% des entreprises impliquent à la fois les décideurs “Business” et “TI” dans les décisions
Priorités et obstacles
- 56% des entreprises reconnaissent que la cybersécurité est un sujet prioritaire
- Les 3 principaux enjeux sont : placer la gouvernance au bon niveau (60%), mieux former les usagers (56%) et allouer plus de budget (46%)
- Recrutement, budget et compétences sont les 3 principaux obstacles des entreprises
Sources : Benoît Dupont & Richard Fontaine, Deloitte 2021, OpinionWay 2021, PwC 2021
Ressources humaines et formation en cybersécurité
La formation et la gestion des ressources humaines en cybersécurité représentent un défi majeur pour les organisations, confrontées à une pénurie de talents et à un besoin croissant de compétences spécialisées.
État des ressources humaines
- 20% des organisations n’ont aucune ressource dédiée à la sécurité
- 37% ont moins de cinq employés spécialisés dans le domaine
- Plus de 50% des organisations ont des postes à combler en sécurité de l’information
- Plus de 62% des entreprises souffrent d’un manque de compétences en sécurité
Recrutement et défis
- 94% des entreprises considèrent le recrutement en sécurité difficile ou très difficile
- Le recrutement, le budget et les compétences sont les 3 principaux obstacles des entreprises
- Plus de 50% des organisations n’ont pas intégré DEVOPS dans la sécurité de l’information
Formation et sensibilisation
- Plus de 75% des entreprises offrent de la formation sur les activités suspectes
- Plus de 70% des entreprises ont donné au moins une séance de formation ou sensibilisation sur la sécurité depuis 12 mois
- 77% des entreprises estiment que leurs salariés sont sensibilisés à la cybersécurité
- 63% pensent que tous les employés ne respectent pas les recommandations
- 35% des entreprises estiment que leurs collaborateurs ne sont pas sensibilisés aux risques cybersécurité liés au télétravail
Sources : Benoît Dupont & Richard Fontaine, OpinionWay 2021, Deloitte 2021
Réglementation et conformité dans le domaine de la cybersécurité
La réglementation et la conformité en matière de cybersécurité se développent à l’échelle mondiale, avec un nombre croissant de pays adoptant des cadres législatifs et réglementaires spécifiques.
Cadre législatif mondial
- 167 pays disposent de lois et réglementations en matière de cybercriminalité et de cybersécurité
- 133 pays ont une forme de législation en matière de cybersécurité
- 97 pays ont des réglementations en matière de protection des données
- 97 pays ont des réglementations en matière d’infrastructures critiques
Organisations et structures nationales
- 127 pays ont une stratégie nationale de cybersécurité
- 136 pays ont des organismes de cybersécurité
- 131 pays ont des CIRT (équipes d’intervention en cas d’incident informatique) actives
- 104 pays participent à une CIRT régionale
Coopération et partenariats
- 166 pays participent à des partenariats public-privé dans le domaine de la cybersécurité
- 90 pays ont des accords bilatéraux dans le domaine de la cybersécurité
- 112 pays ont des accords multilatéraux dans le domaine de la cybersécurité
- Plus de 60% des pays membres africains ont formé des partenariats avec le secteur privé
Signalement et conformité
- Plus de 60% des pays membres africains ont mis en place un mécanisme de signalement des cyberinfractions
- Plus de 97% des entreprises surveillent les pertes de données clients
- 71% des entreprises signalent les pertes de données uniquement si la loi l’exige
- 60% des entreprises considèrent que les règles sur la vie privée ont peu ou pas de répercussions sur leurs activités
Sources : Union internationale des télécommunications 2020, INTERPOL 2024, Benoît Dupont & Richard Fontaine
Enjeux et solutions de protection des données
La protection des données est devenue un enjeu majeur pour les organisations, avec une augmentation significative des incidents de violation de données et une nécessité croissante de mettre en place des solutions efficaces.
Violations et notifications
- 5 037 notifications de violation de données reçues par la CNIL en 2021, soit +79% par rapport à 2020
- 80% des notifications concernent une perte de confidentialité
- 59% des notifications concernaient le piratage informatique, soit 3 000 notifications (+128% par rapport à 2020)
Secteurs les plus touchés
- 21% des notifications proviennent du secteur des activités spécialisées, scientifiques et techniques
- 12% proviennent du secteur de l’administration publique
- 10% proviennent du secteur des activités financières et d’assurance
Solutions et pratiques de protection
- 90% des organisations sauvegardent leurs systèmes essentiels quotidiennement
- 58% des entreprises font une analyse de vulnérabilité au moins 1 fois par année
- 51% ne font pas de tests d’intrusion interne au moins 1 fois par année
- 40% ne font pas de tests d’intrusion externe au moins 1 fois par année
Gestion et surveillance
- Plus de 97% des entreprises surveillent les pertes de données clients
- 71% ne signalent les pertes que si la loi l’exige
- 70% des entreprises sont confiantes envers les pratiques de sécurité des tiers
- Seulement 35% des investissements cybersécurité sont dédiés à la sécurité des données
Année | Nombre de notifications | Évolution |
---|---|---|
2019 | 1705 | – |
2020 | 2825 | +66% |
2021 | 5037 | +79% |
Sources : CNIL 2021, Benoît Dupont & Richard Fontaine, Deloitte 2021
Statistiques et défis spécifiques à la cybersécurité en afrique
L’Afrique fait face à des défis uniques en matière de cybersécurité, avec une croissance rapide de la connectivité et une augmentation proportionnelle des cybermenaces sur le continent.
État de la connectivité et impact économique
- Plus de 160 millions de personnes ont eu régulièrement accès au cyberespace entre 2019 et 2022 en Afrique
- Le coût des cybercrimes est estimé à 1,37 milliard d’euros pour une population globale connectée à 23%
- Le marché de la cybersécurité en Afrique est estimé à 2,32 milliards de dollars US en 2020 contre 1,33 milliards en 2017
Fréquence et types d’attaques
- En 2023, augmentation de 23% des cyberattaques hebdomadaires par organisation, soit la moyenne la plus élevée au monde
- Les logiciels malveillants (36%) et le phishing (22%) sont les principales préoccupations des entreprises africaines
- Plus de la moitié des pays membres africains d’INTERPOL signalent des attaques par rançongiciel contre leurs infrastructures critiques
Préparation et réponse
- Seuls 29% des institutions publiques considèrent la cybersécurité comme prioritaire
- 70% des répondants estiment que la cybersécurité est uniquement de la responsabilité du personnel technique
- 42% des répondants estiment que leur entreprise ne peut que faire partiellement face à une cyberattaque
- 47% des entreprises n’ont pas d’assurance pour les incidents de cybersécurité
Initiatives et coopération
- Environ 80% des pays membres africains mènent des campagnes de sensibilisation du public
- Plus de 60% des pays ont mis en place un mécanisme de signalement des cyberinfractions
- Plus de 60% ont formé des partenariats avec le secteur privé
- 16% des victimes finissent par payer la rançon en cas d’attaque par rançongiciel
Sources : INTERPOL 2024, PwC 2021, Deloitte 2021
Gestion des risques et plans de continuité d’activité
La gestion des risques et la mise en place de plans de continuité d’activité sont devenues des composantes essentielles de la stratégie de cybersécurité des organisations, bien que leur mise en œuvre reste encore insuffisante dans de nombreuses entreprises.
Évaluation et analyse des risques
- Moins de 40% des entreprises ont effectué une analyse des risques durant les 6 derniers mois
- 41% des entreprises utilisent des évaluations de la cybermaturité pour orienter leurs investissements
- 35% des entreprises utilisent des outils de quantification des risques
- 23% se fient à l’expérience des responsables de la cybersécurité
Plans de continuité et reprise d’activité
- 60% des entreprises ne font pas de tests de continuité des activités ou en font de façon intermittente
- Plus de 50% des entreprises n’ont pas un plan de reprise documenté et mis à jour annuellement
- Uniquement 42% des entreprises disposent d’un plan de continuité d’activité
- 90% des organisations sauvegardent leurs systèmes essentiels quotidiennement
Impact et perception des risques
- 32% des dirigeants indiquent que les perturbations opérationnelles sont les répercussions les plus importantes
- 22% citent le vol de propriété intellectuelle comme impact majeur
- 19% mentionnent la baisse du cours des actions comme conséquence principale
- 44% identifient la gestion des données dans des périmètres complexes comme le plus grand obstacle
Suivi et gestion des incidents
- 37% des RSSI effectuent l’analyse des risques ou la modélisation des menaces chaque trimestre
- 29% effectuent ces analyses mensuellement
- 40% des entreprises ont constaté une augmentation du nombre d’incidents depuis l’année précédente
- 39% ne réalisent pas le suivi de leurs incidents cybersécurité
Région | Coût moyen par incident |
---|---|
Amérique du Nord | 4,24 millions USD |
Europe | 3,19 millions USD |
Asie-Pacifique | 2,71 millions USD |
Moyen-Orient | 2,48 millions USD |
Sources : Cybersécurité Deloitte 2021, Benoît Dupont & Richard Fontaine, PwC 2021, Deloitte 2021
Solutions et technologies de cybersécurité
Les entreprises déploient un éventail croissant de solutions et technologies de cybersécurité pour faire face aux menaces émergentes, avec une tendance vers des approches plus sophistiquées et intégrées.
Solutions de sécurité déployées
- Les entreprises mettent en place en moyenne 10 solutions de cybersécurité différentes
- Les solutions les plus fréquentes sont le VPN, le proxy/filtrage d’URL et la passerelle de sécurité mail
- Seulement 32% des entreprises africaines utilisent des solutions de sécurisation avancées
- 29% des entreprises ont mis en place le concept de Zero Trust et 45% l’étudient
Confiance et efficacité
- 85% des entreprises jugent les solutions de protection du marché plutôt adaptées à leurs besoins
- 70% des entreprises sont confiantes d’être protégées contre les attaques internes
- 88% sont confiantes d’être protégées contre les attaques externes
- 53% des entreprises ne savent pas si leurs solutions de sécurité sont adaptées à leurs besoins
Adoption des technologies
- Près de 40% des entreprises attendent que les technologies soient éprouvées avant de les adopter
- 94% des directeurs financiers envisagent de déplacer leurs systèmes financiers ou leur PGI vers le cloud
- 34% des entreprises externalisent leurs activités de sécurité physique et environnementale
- Seulement 12% du temps des responsables sécurité SI est dédié à la détection et la réponse aux cybermenaces
Sources : OpinionWay 2021, Cybersécurité Deloitte 2021, Deloitte 2021, Cybermalveillance.gouv.fr
Impact du télétravail sur la sécurité informatique
La généralisation du télétravail, particulièrement accélérée par la crise du COVID-19, a créé de nouveaux défis en matière de cybersécurité pour les organisations, nécessitant une adaptation rapide des pratiques et des solutions de sécurité.
Adoption et préparation
- 92% des entreprises sondées ont eu recours au télétravail total ou partiel face à l’impact du COVID-19
- 72% des entreprises estiment qu’elles sont suffisamment outillées en matière de télétravail
- 35% des entreprises estiment que leurs collaborateurs ne sont pas sensibilisés aux risques cybersécurité liés au télétravail
Risques et vulnérabilités
- Les logiciels malveillants (36%) sont la principale préoccupation des entreprises en télétravail
- Les attaques de phishing (22%) représentent la deuxième menace majeure
- 69% des répondants ont indiqué une augmentation des menaces entre le début de 2020 et mai 2021
Mesures de sécurité
- Plus de 75% des entreprises offrent de la formation sur les activités suspectes
- Plus de 70% des entreprises ont donné au moins une séance de formation ou sensibilisation sur la sécurité
- 44% des répondants identifient la gestion des données dans des périmètres complexes comme le plus grand obstacle
Sources : Deloitte 2021, Cybersécurité Deloitte 2021, Benoît Dupont & Richard Fontaine
Chiffres clés sur les notifications et les violations de données
Les notifications et violations de données constituent un indicateur crucial de l’état de la cybersécurité. Cette section analyse les tendances et l’évolution des incidents déclarés, particulièrement auprès des autorités de régulation.
Volume des notifications
- 5 037 notifications de violation de données reçues par la CNIL en 2021, soit +79% par rapport à 2020
- 59% des notifications concernaient le piratage informatique, soit 3 000 notifications (+128% par rapport à 2020)
- 43% des notifications reçues concernaient une attaque par rançongiciel
Nature des violations
- 80% des notifications concernent une perte de confidentialité
- 30% des entreprises ont subi une violation externe de sécurité
- 17% ont subi une violation interne de sécurité
Répartition par secteur
- 21% des notifications proviennent du secteur des activités spécialisées, scientifiques et techniques
- 12% proviennent de l’administration publique
- 10% proviennent du secteur des activités financières et d’assurance
Gestion et reporting
- 97% des entreprises surveillent les pertes de données clients
- 71% ne signalent les pertes que si la loi l’exige
- 85% des responsables marketing peuvent mesurer et démontrer le niveau de conformité avec les réglementations
- 46% des responsables marketing participent à la planification et aux tests d’intervention trimestriellement
Sources : CNIL 2021, Benoît Dupont & Richard Fontaine, Cybersécurité Deloitte 2021
FAQ : Les questions des internautes
Quel pourcentage d’entreprises sont insuffisamment préparées face aux cyberattaques ?
Environ 78% des entreprises déclarent être insuffisamment préparées ou ne pas savoir comment réagir face aux cyberattaques.
Quels sont les secteurs les plus touchés par les incidents de cybersécurité ?
L’administration publique est le secteur le plus affecté par les cyberincidents, avec 24% des attaques, suivie par les services numériques (13%) et le grand public (12,4%).
Quel est le principal défi en matière de compétences dans le domaine de la cybersécurité ?
62% des entreprises souffrent d’un manque de compétences en cybersécurité, et 94% rencontrent des difficultés de recrutement dans ce domaine.
La cybersécurité est devenue cruciale pour protéger les données et la réputation des organisations face aux menaces croissantes des cyberattaques. Dans ce contexte, acquérir des compétences en cybersécurité est essentiel pour anticiper et contrer les risques. Sur LearnThings, nous recommandons des formations en cybersécurité pour amateurs afin d’aider les entreprises à se doter de stratégies de protection robustes. Ces formations permettent de renforcer les connaissances et de préparer les équipes à répondre efficacement aux cybermenaces.