Alors même que les budgets cyber augmentent, les réels progrès en matière de sécurité sont lents, voire stagnants. L'enquête 2024 Global Digital Trust Insights de PwC, menée auprès de 3 876 dirigeants et responsables de la technologie dans les plus grandes entreprises mondiales (30 % des répondants ont un chiffre d'affaires de 10 milliards de dollars ou plus), montre qu'il existe une marge de progression considérable en matière de cybersécurité.
Le coût et l’ampleur des violations de données continuent d'augmenter. Bien que les attaques via le Cloud soient la principale préoccupation des entreprises, environ un tiers d'entre elles n'ont pas de plan de gestion des risques pour faire face aux défis posés par le Cloud en matière de cybersécurité. Seule la moitié des entreprises se disent être "très satisfaites" de leurs capacités technologiques cyber. 30 % des entreprises ne se disent encore insuffisamment outillées.
5 % des répondants à l’enquête, les plus performants, démontre une capacité à réduire la probabilité d’une attaque cyber qui les impacterait et à réduire le coût de ces cyberattaques pour l’entreprise.
Notre enquête met en évidence une tendance à la recherche de l’optimisation du portefeuille technologique.
0:00:58
[Parlons Cyber] Episode 1 : Digital Trust Insights 2024
Dans ce premier épisode, retrouvez Jamal Basrire, Associé responsable des activités Cyber Intelligence, pour découvrir les meilleures pratiques des champions de la cybersécurité.
Qui sont les 5 % les plus performants ?
Q26. Please indicate how consistently your organisation’s cybersecurity team does the following.
Base: 3876 respondents.
Source: PwC, 2024 Global Digital Trust Insights.
Comment se démarquent-ils en 9 points clés ?
Les 5 % les plus performants sont :
6 fois plus susceptibles d'avoir déjà mis en œuvre des initiatives de transformation en cybersécurité dont ils recueillent les bénéfices.
5 fois plus susceptibles d'être très satisfaits de leurs capacités actuelles en matière de cyber-technologie.
4 fois plus susceptibles de mettre à jour continuellement leur plan de gestion des risques notamment à court terme pour réduire les risques liés au Cloud.
9 fois plus susceptibles d'être matures dans leurs pratiques de cyber-résilience.
Les 5 % les plus performants sont plus susceptibles d'/de :
Investir davantage dans le budget cyber : 81 % des répondants français les plus performants vont augmenter leur budget cyber en 2024 (contre 79 % au Global), dont 13 % augmenterons leur budget cyber en 2024 de plus de 15 % (contre 10 % au Global).
Déclarer que leur cyber intrusion la plus dommageable au cours des trois dernières années leur a coûté moins de 100 000 $ (21 % des plus performants en France contre 19 % au Global).
Penser que leur organisation développera de nouvelles lignes d'activité en utilisant GenAI (49 % des plus performants contre 33 % au Global).
Prévoir le déploiement des outils GenAI pour la cyberdéfense (44 % des plus performants contre 27 % au Global).
Penser que la "GenAI ne conduira pas à une cyber-attaque catastrophique" (17 % des plus performants en France contre 22 % au Global).
Source: PwC, 2024 Global Digital Trust Insights.
Avec la technologie désormais au cœur des entreprises, la protéger équivaut à protéger l'entreprise elle-même. C'est pourquoi en 2023, PwC a créé un guide pour aider les cadres dirigeants à se concentrer sur les questions auxquelles ils doivent répondre avec leur Responsable des Systèmes de la Sécurité et de l'Information (RSSI).
Nous avons mis à jour le manuel pour 2024 car cette année devrait être une année charnière. La cybersécurité est confrontée à quatre changements majeurs, dont chacun d'entre eux pourrait être disruptif à lui seul.
1
Les dirigeants d’entreprise insistent sur la modernisation, l’optimisation de l’infrastructure technologique et les investissements, dans une année de réduction des coûts et d’incertitude macroéconomique.
2
La montée des cybermenaces hybrides et la frontière floue entre l’espionnage et la cybercriminalité, propulsent la cyberdéfense dans le domaine de la sécurité nationale.
3
Une nouvelle technologie révolutionnaire - l’IA générative - apporte de nouvelles menaces ainsi qu’une promesse sans précédent pour la défense.
4
Des réglementations exigeant une transparence en matière de cyber incidents et de gestion des risques pourraient inaugurer une nouvelle ère de transparence et de collaboration.
Gestion du risque cyber : l’heure de la réinvention
La réduction des risques cyber est une priorité absolue pour 2024, selon l'enquête 2024 Global Digital Trust Insights de PwC. Après avoir chuté à la quatrième place dans l'enquête PwC CEO Survey 2023, ce risque atteint désormais la deuxième position sur la liste des risques prioritaires, derrière les risques numériques et technologiques. Toutefois, les risques numériques et technologiques sont indissociables du risque cyber.
Dans le contexte économique actuel, on ne peut tout simplement pas parler de transformation numérique ou de réinvention sans mentionner la cybersécurité. Les attaques contre le cloud et les appareils connectés - deux technologies au cœur de la transformation des entreprises aujourd'hui - sont les cybermenaces qui préoccupent le plus les répondants.
Les méga violations de données sont de plus en plus nombreuses, importantes et coûteuses. Le pourcentage de ceux qui déclarent des coûts d’au moins 1 million de dollars suite à leur pire violation de données au cours des trois dernières années est passé de 27 % l'année dernière à 36 %.
Le rythme de la réinvention des entreprises et de l'innovation par la technologie ne ralentit pas. D'autant que 40 % des PDG pensent que leur entreprise pourrait ne plus être économiquement viable d'ici dix ans si elle continuait sur la même voie.
La gestion des risques cyber de votre organisation suit-elle le rythme de l'innovation ?
Les violations de données sont de plus en plus coûteuses
Estimation du coût de la violation de données la plus préjudiciable pour les organisations au cours des trois dernières années
Pourcentage de ceux qui déclarent avoir subi une violation de données de plus d'un million de dollars : Total 2024 = 36 %, total 2023 = 27 %
Coût moyen d'une violation de données en millions et pourcentage pour les violations de données les plus dommageables (ayant coûté 1 million de dollars ou plus), par secteur
Q5. En pensant à la violation de données la plus préjudiciable que vous ayez subie au cours des trois dernières années, veuillez fournir une estimation du coût pour votre organisation. Base : Répondants des secteurs de la sécurité, de l'informatique et des directeurs financiers=1651
Source : PwC, 2024 Global Digital Digital PwC, 2024 Global Digital Trust Insights.
La simplification des outils cyber : une bête noire pour les acteurs malveillants
La modernisation et l'optimisation sont les principales priorités en matière d'investissement cyber pour 2024. Près de la moitié (49 % au Global contre 60 % pour la France) des leaders du marché ont choisi la modernisation technologique, y compris l'infrastructure cyber, et 45 % ont opté pour l'optimisation des technologies et investissements existants.
Les budgets cyber de 2024 visent à maximiser l'utilisation des outils existants
Leader du marché - Priorités d'investissement en cybersécurité pour les 12 prochains mois (classé par ordre croissant)
Q14b. Parmi les investissements suivants, quels sont ceux que vous priorisez lors de l'allocation du budget cyber de votre organisation pour les 12 prochains mois ? (Classé par ordre croissant). Base : Répondants d'affaires = 1925
Source : PwC, 2024 Global Digital Digital PwC, 2024 Global Digital Trust Insights.
Source : PwC, 2024 Global Digital Digital PwC, 2024 Global Digital Trust Insights.
Dans notre enquête de 2022, nous avons constaté que les PDG étaient particulièrement préoccupés par le fait que leurs organisations étaient devenues trop complexes à sécuriser. À l'époque, 32 % d'entre eux avaient rationnalisé leurs fournisseurs de technologie dans un effort de simplification, ainsi que le réalignement de leur portefeuille de services managés et internes.
Dans l'enquête de 2024, 44 % déclarent utiliser une suite intégrée de solutions de cyber technologie, et 39 % prévoient d'en adopter une au cours des deux prochaines années. Près d'un cinquième - 19 % - déclarent avoir trop de solutions cyber et avoir besoin de les rationnaliser.
Le défi des dirigeants d’entreprise n’est pas de faire face à un manque d’outils ou un manque d’investissement. Il s'agit plutôt de déterminer comment votre organisation peut récolter les fruits de vos investissements. Votre architecture IT est-elle trop complexe pour être correctement protégée ? Les acteurs malveillants trouvent-ils facilement des failles dans votre défense ?
Sécurité du cloud : une attention concertée s’impose
La sécurité du cloud est la préoccupation cyber numéro 1 pour près de la moitié (47 %) des répondants. Les moyens par lesquels les acteurs malveillants peuvent s’introduire dans l’entreprise peuvent sembler pratiquement illimités. Les organisations devraient ainsi mettre en place des contrôles partout : sur l'identité et l'accès, le mouvement latéral, les comptes de messagerie, les portails web, les applications, les informations propriétaires, les interactions avec les clients, les systèmes d'exploitation, les appareils connectés, et la liste continue.
Beaucoup des répondants - 42 % - utilisent plus d'un cloud, et les préoccupations concernant la sécurité du cloud augmentent parmi les utilisateurs de Clouds hybrides. 54 % de ces répondants citent le cloud comme leur risque cyber le plus pressant. Les utilisateurs de cloud hybride sont également les plus susceptibles de sélectionner le cloud parmi leurs trois principales priorités en matière d'investissements en sécurité pour l'année à venir (36 % contre 33 % au Global).
Cependant, pratiquement toutes les organisations — 97 % — ont des lacunes dans leur plan de gestion des risques du cloud. Seules 3 % maintiennent des plans à jour qui abordent les neuf domaines de sécurité du cloud. Les risques liés à des réglementations fragmentées, par exemple, n'ont pas encore été adressés par 42 % ; 41 % n'ont pas de plan pour faire face au risque de concentration ; 36 % n'ont pas encore abordé le risque du cloud des tiers.
Sécurité du cloud : une menace de premier ordre, un investissement de premier plan, mais une gestion toujours déficiente
Q19 - Dans quelle mesure votre organisation a-t-elle adressé les défis suivants avec votre (vos) fournisseur(s) de services cloud ?" Base : Utilisateurs de fournisseurs de cloud = 3648
Source : PwC, 2024 Global Digital Digital PwC, 2024 Global Digital Trust Insights.
Le défi pour les dirigeants d’entreprise est le suivant : Comment travaillez-vous ensemble et avec vos fournisseurs de sécurité cloud pour progresser dans la défense des points d'entrée les plus importants vers vos systèmes et de vos actifs via le cloud ?
L'IA générative au service de la défense cyber
Près de 70 % des répondants déclarent que leur organisation utilisera l'IA générative (GenAI) pour la défense cyber. Les outils GenAI peuvent aider à réduire les désavantages pour les équipes cyber dépassées par le nombre et la complexité des cyberattaques, qui ne cessent d’augmenter.
GenAI pour la défense cyber
69 %
Plus des deux tiers (69 % au Global, 72 % pour la France) déclarent qu’ils utiliseront la GenAI pour la défense cyber au cours des 12 prochains mois
47 %
Près de la moitié (47 % au Global, 54 % pour la France) l’utilisent déjà pour la détection et la réduction des risques cyber
21 %
Un cinquième (21 % au Global, 22 % pour la France) constatent déjà des avantages pour leurs programmes cyber grâce à la GenAI – quelques mois seulement après son lancement public.
Q7 : Dans quelle mesure êtes-vous d’accord ou en désaccord avec les affirmations suivantes sur l’IA générative ? Base : Tous les répondants (3876)
Source - PwC, 2024 Global Digital Trust Insights
Les plateformes accordent des licences pour leur Lare Language Model (LLM) en tandem avec leurs solutions de cyber technologie. Microsoft Security Copilot a l'intention de fournir des fonctions GenAI pour la gestion de la posture de sécurité, la réponse aux incidents et les rapports de sécurité. Google a annoncé Security AI Workbench pour des cas d'utilisation similaires.
De nombreux fournisseurs repoussent les limites de la GenAI, testant ce qui est possible. Il faudra sans doute attendre un certain temps avant de voir une utilisation à grande échelle des technologies GenAI de défense. En attendant, voici les trois domaines les plus prometteurs : la détection et l'analyse des menaces, les rapports sur les risques cyber et les incidents, et les contrôles adaptatifs.
Le défi pour les dirigeants d’entreprise est le suivant : comment manier les nouveaux outils sans provoquer l'apparition de nouveaux risques au sein de l'organisation et de la société ? Que faut-il faire pour utiliser la GenAI de manière éthique et responsable ?
Règlementations : transformer la contrainte en opportunité de croissance
Le point de vue dominant est que les nouvelles règles et réglementations entravent les revenus, mais voici le point de vue d'au moins un tiers des personnes interrogées : les garde-fous mis en place par les régulateurs peuvent donner aux entreprises plus de confiance pour explorer, expérimenter, inventer et être compétitives.
Environ un tiers des répondants de cette année s'accordent à dire que quatre types de réglementation seront les plus importants pour sécuriser la croissance future de leur organisation - la réglementation de l'IA (37 %), l'harmonisation des lois sur la cyber et la protection des données (36 % la déclaration obligatoire de la gestion, de la stratégie et de la gouvernance des risques cyber (35 %) les exigences en matière de résilience opérationnelle (32 %).
Pas moins des trois quarts s'attendent à ce que la mise en conformité avec ces réglementations nécessite d'importantes dépenses financières et de temps. Les coûts élevés et l'impact sur les revenus peuvent être évités si les entreprises s'impliquent tôt et souvent dans les processus réglementaires - en rencontrant les autorités chargées de l'application de la loi, par exemple, en participant aux commentaires publics et même en s'asseyant à la table des régulateurs pour aider à élaborer ou à influencer les directives proposées.
Les questions que doivent se poser les dirigeants sont les suivantes : dans un contexte d'incertitude réglementaire, pouvez-vous donner à votre organisation la marge de manœuvre nécessaire pour innover tout en préservant la sécurité et la protection de la vie privée dès la conception ? Comment faire de ce nouvel environnement réglementaire une source d'avantage concurrentiel ?
Quelles sont les réglementations susceptibles d’impacter la cybersécurité ?
Objectifs et principes réglementaires ayant le plus d'impact sur la croissance future du chiffre d'affaires de l'organisation (classés par ordre croissant)
Q24. Parmi les objectifs et principes réglementaires proposés, quels sont ceux qui auront le plus d'impact sur la capacité de votre organisation à assurer la croissance future de son chiffre d’affaires ? (Classé par ordre croissant)
Base : Tous les répondants (3876)
Base : Tous les répondants (3876)
Osez rompre avec le traditionnel "cyber-as-usual"
Votre entreprise n'a plus rien à voir avec son fonctionnement traditionnel. Mais la plupart des entreprises sont encore enfermées dans la cyber traditionnelle.
Des initiatives fragmentées, de plus en plus de complexités technologiques, un programme de gestion des risques qui, avec ses lacunes, est risqué en soi. Des transformations et des projets qui ne produisent pas les résultats escomptés. Ces écueils et d'autres encore font obstacle à une cybersécurité véritablement digne de confiance.
Votre programme cyber est-il axé sur la cyber ou sur le marché ?
Les initiatives du haut de ce tableau sont axées sur la cyber ; celles du bas sur le marché.
- Création ou amélioration des rôles de Responsable de la Sécurité de l'Information Métier (BISO)
Mis en œuvre et réalisant des bénéfices : 24%
Mis en œuvre dans toute l'organisation mais ne réalisant pas encore de bénéfices : 27% - Développement d'un nouveau modèle pour DevSecOps afin de mieux intégrer la sécurité et le développement technologique
Mis en œuvre et réalisant des bénéfices : 22%
Mis en œuvre dans toute l'organisation mais ne réalisant pas encore de bénéfices : 26% - Passage à un centre de fusion
Mis en œuvre et réalisant des bénéfices : 22%
Mis en œuvre dans toute l'organisation mais ne réalisant pas encore de bénéfices : 27% - Création d'un nouveau modèle opérationnel axé sur l'habilitation du business
Mis en œuvre et réalisant des bénéfices : 22%
Mis en œuvre dans toute l'organisation mais ne réalisant pas encore de bénéfices : 27% - Utilisation de Large Language Models (LLM) ou d'IA générative dans la détection et l'atténuation des risques
Mis en œuvre et réalisant des bénéfices : 21%
Mis en œuvre dans toute l'organisation mais ne réalisant pas encore de bénéfices : 26% - Utilisation de services managés dans de nouveaux domaines
Mis en œuvre et réalisant des bénéfices : 28%
Mis en œuvre dans toute l'organisation mais ne réalisant pas encore de bénéfices : 28% - Utilisation des données pour quantifier les risques cyber et allouer les budgets cyber
Mis en œuvre et réalisant des bénéfices : 26%
Mis en œuvre dans toute l'organisation mais ne réalisant pas encore de bénéfices : 28% - Intégration complète avec la stratégie et les activités de résilience de l'organisation
Mis en œuvre et réalisant des bénéfices : 25%
Mis en œuvre dans toute l'organisation mais ne réalisant pas encore de bénéfices : 28% - Passage au concept de zéro trust
Mis en œuvre et réalisant des bénéfices : 23%
Mis en œuvre dans toute l'organisation mais ne réalisant pas encore de bénéfices : 28%
Q10. Dans quelle mesure votre organisation met-elle en œuvre ou prévoit-elle de mettre en œuvre les initiatives suivantes en matière de cybersécurité ? Base : Tous les répondants = 3876. La technique d'analyse utilisée est l'analyse factorielle.
Dans le guide 2023, nous avons identifié les défis majeurs que les dirigeants d’entreprise doivent relever ensemble, en tant que partenaires. Ces défis sont toujours d'actualité.
En 2024, nous relevons le défi : oserez-vous, en tant que dirigeant d’entreprise, sortir de l'immobilisme et prendre une ou deux mesures audacieuses qui auront le plus d’impact pour votre organisation ? Ou de faire ce saut imaginatif qui pourrait enfin lever les obstacles qui empêchent votre entreprise d'atteindre ses objectifs ?
Adoptez un nouveau langage
RSSI (CISO), DAF (CFO), Directeur juridique (GC)
Se placer au centre de l'innovation signifie rencontrer vos équipes de direction là où elles se trouvent et les aider à surmonter l'intimidation qu'elles pourraient ressentir à l’égard de ce que vous faites. L’utilisation de termes d'initiés tels que “paysage cyber”, “surface d'attaque” et même “zéro trust” ne peut que mystifier davantage le sujet pour ceux qui ne font pas le même métier que vous.
Osez parler de cyber en termes business, techniques et financiers ou quotidien. Adressez-vous à vos clients, investisseurs et partenaires commerciaux dans les rapports de sécurité annuels d'une manière qui informe et engage. Utilisez un vocabulaire commun peut aider les cadres d’entreprise à lutter contre les arbitrages, les tensions et le chaos qui se produisent inévitablement au centre de l'innovation.
Essayez des méthodes audacieuses
RSSI (CISO), CRO, IA, CCO, COO
Utilisez des approches plus sophistiquées pour la modélisation du risque cyber, telles que la recherche de menaces en utilisant des formules spécifiques au secteur, à la vision et à la stratégie de votre entreprise. Créez une prime de performance liée au risque pour chaque employé éligible à un bonus dans l'entreprise, afin de construire une culture du risque. Inventez de nouvelles façons de trouver et de renforcer vos faiblesses, par exemple avec un programme moderne de récompenses pour la découverte de bugs qui encourage la recherche individuelle dans le domaine de la sécurité. Enfin, procurez-vous et commencez à utiliser une solution d'identité gérée de manière centralisée et orientée cloud pour sécuriser vos objectifs d'expansion commerciale.
Formez des garde-fous
RSSI (CISO), DSI (CIO), Direction juridique (GC), affaires réglementaires (Reg Affairs)
Parlez le langage de la confiance, pas seulement de la conformité réglementaire. Impliquez-vous tôt et souvent pour avoir de meilleures chances d'influencer sur les nouvelles règles et assurer qu'elles favorisent, plutôt que freinent, le succès de l'entreprise. L'IA, le métaverse, la cryptomonnaie, la confidentialité — ces sujets réglementaires brûlants pourraient bien bénéficier de votre expérience et de vos connaissances. N'oubliez pas, les régulateurs peuvent se sentir aussi déconcertés que quiconque face au fonctionnement du cyber et de la technologie.
Libérez du temps pour vos équipes (automatisation, GenAI, services managés).
RSSI (CISO), DSI (CIO), CTO, CRO, COO
Vous fournir une surveillance continue est l'un des avantages de l'automatisation, de la GenAI et des services managés. Effectuer des tâches banales pour que vos équipes n'aient pas à le faire en est un autre. Libérées des tâches fastidieuses, vos équipes pourraient trouver le temps et l'espace pour réfléchir à de nouvelles façons de contrer les menaces.
Intégrez la cybersécurité au conseil d’administration
RSSI (CISO), conseil d’administration (BOARD), PDG (CEO)
La cybersécurité domine le podium des risques dans la plupart des entreprises et dans de nombreuses enquêtes menées auprès des cadres d’entreprise. Mais est-ce un sujet de discussion régulier dans votre conseil d’administration ? Recevez-vous des informations de qualité non seulement sur les risques et les contrôles en matière de cybersécurité, mais aussi sur la manière dont les principales initiatives stratégiques favorisent la croissance de l’entreprise et des revenus ? La sécurité constitue le socle de tout ce que fait l'organisation : finance, développement, personnel, technologie et autres domaines de l'entreprise dont vous discutez probablement à chaque réunion.
Regarder votre programme de cybersécurité bien en face peut être un acte audacieux.
Mettez-vous à la place du chef d’entreprise
RSSI (CISO), PDG (CEO)
La transformation de l’entreprises une chose mais la transformation cyber n'en est pas une autre. Elles sont identiques. Le RSSI et le PDG doivent maintenant considérer la cybersécurité comme un enjeux à l’échelle de l’entreprise, en vous mettant à la place du chef d’entreprise. Ne voudrait-il pas que chaque aspect - registres financiers, recherche propriétaire, développement d'applications, données clients, etc. - soit protégé contre toute consultation ou utilisation non autorisée ? Ne voudrait-il pas protéger sa marque ? La cybersécurité ne pourrait-elle pas stimuler des innovations qui permettent d'économiser de l'argent et d'aider l'entreprise à se développer ? C'est la raison d'être de la cybersécurité.
Guide de cybersécurité et de la protection de la vie privée dédié aux dirigeants d’entreprise
Inscrivez-vous pour obtenir le rapport complet et anticiper 2024
À propos de l'enquête
Le Global Digital Trust Insights 2024 est une enquête menée auprès de 3 876 cadres d’entreprise, de technologie et de sécurité (PDG, directeurs d'entreprises, DAF, RSSI, DSI et membres de la C-suite) réalisée de mai à juillet 2023.
Quatre cadres d’entreprise sur dix appartiennent à de grandes entreprises avec des revenus de 5 milliards de dollars ou plus. Fait important, 30 % sont dans des entreprises avec des revenus de 10 milliards de dollars ou plus.
Les répondants opèrent dans divers secteurs, dont la fabrication industrielle (20%), les services financiers (20 % la technologie, les médias, les télécommunications (19 %), la vente au détail et les marchés de consommation (17 %), l’énergie, les utilités et les ressources (11 %), la santé (9 %) et le gouvernement et les services publics (3 %).
Les répondants sont basés dans 71 pays. La répartition régionale est la suivante : Europe de l'Ouest (32 %), Amérique du Nord (28 % Asie-Pacifique (18 %) Amérique latine (10 %), Europe de l'Est (5 %), Afrique (4 %) et Moyen-Orient (3 %).
L'enquête Global Digital Trust Insights était autrefois connue sous le nom de Global State of Information Security Survey (GSISS). En sa 26e année, c'est l'enquête annuelle la plus ancienne sur les tendances en matière de cybersécurité. C'est également la plus grande enquête dans l'industrie de la cybersécurité et la seule qui attire la participation de cadres supérieurs d'entreprises, et pas seulement de cadres de la sécurité et de la technologie.
PwC Research, le centre d'excellence mondial de PwC pour la recherche et l'analyse de marché, a mené cette enquête.
Pour aller plus loin
Suivez-nous !
Contactez-nous
Jamal Basrire
Associé, Leader des activités Cloud Transformation et Cyber, PwC France et Maghreb
