La cyber-résilience est devenue un axe prioritaire du secteur de la cybersécurité ces dernières années. Le gouvernement lui-même l'a évoquée dans un projet de loi crucial en cours d'examen. Cependant, sa mise en œuvre s'avère complexe pour les six millions d'entreprises britanniques. Si l'on en croit les dernières études de Whitehall, l'écart entre les ambitions du secteur en matière de résilience et les résultats obtenus par les organisations demeure considérable.
Cette année, le Enquête sur les failles de cybersécurité Le rapport est paru. Et il confirme une fois de plus que les entreprises du pays peinent à se développer en matière de cybersécurité. Seule la moitié (57 %) des PME et les trois quarts (74 %) des grandes entreprises ont mis en place une stratégie de sécurité – un chiffre pratiquement inchangé par rapport à l'année dernière. Il reste encore beaucoup à faire.
Le chemin vers la résilience
La résilience consiste à repenser la cybersécurité face à un paysage de menaces instable, un contrôle réglementaire croissant et des exigences insatiables des conseils d'administration en matière d'investissement numérique. Dans un monde où l'économie de la cybercriminalité est d'une valeur de billions, le Centre national de cybersécurité (NCSC) traitant quatre attaques « d’importance nationale » par semaine, et milliards de compromis Les identifiants circulent, les équipes de sécurité doivent accepter qu'aucune organisation n'est à l'abri d'une violation de données à 100 %.
Dans ce contexte, l'accent n'est plus mis sur la prévention, mais sur la capacité à se préparer, à réagir, à se rétablir et à tirer des enseignements des attaques qui parviennent à passer inaperçues. Ceci est plus important que jamais, car les surfaces d'attaque s'étendent avec l'explosion des objets connectés, des agents d'IA, des chatbots et des robots de gestion de l'apprentissage (LLM) – dont beaucoup sont utilisés à l'insu des services informatiques. IO (anciennement ISMS.online) Rapport sur l’état de la sécurité de l’information 2025 révèle qu’un tiers (34 %) des répondants sont préoccupés par l’IA fantôme au cours de l’année à venir, l’une des réponses les plus populaires.
Ce que le gouvernement a découvert
Une véritable résilience exige des défenses à plusieurs niveaux. Malheureusement, le dernier rapport du gouvernement sur les violations de données révèle que de nombreuses organisations ne mettent pas en place les mesures de base. Voici quelques-unes des principales conclusions :
Formation et sensibilisation du personnel élevageBien que la part des répondants participant à ces activités ait augmenté pour les plus grandes entreprises (de 76 % l'année dernière à 84 % cette année), elle est restée globalement bloquée à un décevant 19 %.
Évaluations des risques: On observe une très légère augmentation annuelle du nombre de répondants réalisant des évaluations des risques de cybersécurité, parmi les moyennes entreprises (de 57 % à 62 %) et les grandes entreprises (de 70 % à 72 %). Toutefois, le chiffre global est resté pratiquement inchangé à 30 %.
Gestion des risques de la chaîne d'approvisionnement : Moins d'un tiers (30 %) des PME et la moitié (48 %) des grandes entreprises évaluent les cyber-risques posés par leurs fournisseurs directs. Ces chiffres sont quasiment inchangés par rapport à l'année dernière (32 % et 45 % respectivement). Pour l'ensemble de la chaîne d'approvisionnement, les taux sont encore plus faibles : 13 % et 24 % contre 15 % et 25 %. Au total, seulement 15 % des entreprises ont évalué leurs fournisseurs directs et 6 % l'ensemble de leur chaîne d'approvisionnement, soit des pourcentages similaires à ceux de l'année dernière (14 % et 7 %).
Assurance: La moitié des entreprises (47 %) déclarent être assurées contre les cyber-risques, un chiffre qui grimpe à 61 % pour les PME. Ces données sont globalement similaires à celles de l'année dernière (45 % et 65 %). Plus inquiétant encore, seulement 10 % affirment disposer d'une police d'assurance cyber spécifique, et plus d'un cinquième (22 %) n'en ont aucune idée. Ces deux statistiques sont comparables à celles de l'année dernière (7 % et 20 %).
Le conseil d'administration : La cybersécurité est considérée comme une « priorité absolue » par la direction générale pour 72 % des répondants. Mais est-ce vraiment le cas ? La responsabilité des conseils d’administration en la matière n’a que légèrement progressé, passant de 27 % à 31 %.
Réponse aux incidents: La part des répondants disposant d’un plan formel de relations investisseurs est restée pratiquement inchangée (25 %), tout comme les chiffres pour les moyennes (53 % à 57 %) et les grandes (75 % à 76 %) entreprises.
Sensibilisation aux initiatives gouvernementales : Davantage de répondants que l'an dernier déclarent avoir entendu parler de programmes gouvernementaux tels que Cyber Aware (de 24 % à 30 %), le guide des 10 étapes (de 12 % à 17 %) et Cyber Essentials (de 12 % à 17 %). Cependant, ces chiffres, ainsi que ceux concernant les nouveaux codes de bonnes pratiques en matière de sécurité logicielle (22 %) et de gouvernance de la cybersécurité (16 %), restent bien trop faibles.
De plus, la part des répondants détenant la certification Cyber Essentials n'a augmenté que légèrement, passant de 3 % à 5 % au total, et de 21 % à 35 % pour les grandes entreprises.
AI: Environ un cinquième (21 %) des répondants déclarent avoir adopté certains outils d'IA au sein de leur organisation. Pourtant, près de la moitié (45 %) affirment que l'IA n'est pas pertinente pour leur organisation.
Au-delà de la simple sécurité formelle
Merlin Gillespie, directeur technique de Cybanetix, explique à IO que le rapport illustre une fois de plus deux réalités : les grandes entreprises sont globalement compétentes tandis que leurs concurrentes plus petites sont vulnérables.
« La procédure standard est bien rodée. Adoptez une attitude proactive face aux violations de sécurité, rédigez un plan de réponse aux incidents éprouvé avec des procédures d'escalade claires, déployez un ensemble de contrôles de sécurité, une solution MDR, une gestion des identités, un renforcement de l'authentification et commencez à examiner formellement votre chaîne d'approvisionnement », explique-t-il.
« Ce sont là les solutions idéales pour les entreprises dotées d'une fonction de sécurité formalisée et des ressources nécessaires à leur mise en œuvre. Le problème, c'est que cette solution présuppose une capacité dont la plupart des entreprises britanniques ne disposent pas. »
Richard Groome, spécialiste en cybersécurité OT chez e2e-assure, s'inquiète du manque de réactivité face aux incidents. « La plupart des entreprises peuvent gérer les incidents en interne, mais seul un tiers d'entre elles dispose de procédures de signalement externe claires. Ce n'est pas de la résilience, c'est de la réaction », explique-t-il à IO.
« Les entreprises doivent dépasser le stade de la simple conformité aux normes de sécurité et se concentrer sur l'observabilité et la résilience opérationnelle. Cela exige une surveillance continue, une détection plus rapide et une réponse aux incidents qui ait été réellement testée, et non pas seulement documentée. Avec l'obligation de signalement sous 24 heures, il est impossible de réagir à un incident non détecté. La visibilité et la rapidité sont donc essentielles. »
Dan Lattimer, vice-président EMEA chez Semperis, ajoute que la gestion des identités doit faire partie intégrante de tout plan de réponse aux incidents. « Investir dans la surveillance et la restauration des identités, en parallèle de la prévention, est essentiel pour réduire les interruptions de service, la répétition des incidents et les dommages à long terme pour l'entreprise », affirme-t-il. « Une réponse aux incidents sans restauration des identités est une réponse incomplète. »
Formalisation des meilleures pratiques
Malgré une faible sensibilisation et une adoption limitée des normes et cadres de bonnes pratiques, ces derniers peuvent constituer un atout précieux pour améliorer la cyber-résilience, selon d'autres experts interrogés par IO. Graeme Stewart, responsable du secteur public pour le Royaume-Uni et l'Irlande chez Check Point, qualifie les conclusions du rapport de « signal d'alarme » pour les organisations de toutes tailles.
« Le triangle magique que forment les personnes, les processus et la technologie requiert toute notre attention. Le personnel doit être informé et sensibilisé. Les processus doivent être robustes, couvrant à la fois la prévention et la gestion des incidents, et la technologie doit être correctement mise à jour, utilisée à bon escient et maintenue à jour », explique-t-il à IO.
« Des référentiels comme Cyber Essentials, ISO 27001 et les recommandations du NIST constituent des garde-fous essentiels, notamment pour les petites organisations dont les dirigeants ne sont pas des experts en cybersécurité. Ces référentiels offrent aux entreprises une voie structurée à suivre, ce qui représente un progrès véritablement positif. »
Muhammad Yahya Patel, vCISO chez Huntress, partage cet avis. « Les référentiels tels que Cyber Essentials et les normes ISO sont précieux car ils offrent une approche cohérente et encadrée de la gestion des contrôles, des risques et des politiques », explique-t-il à IO. « Cyber Essentials, en particulier, met l'accent sur les contrôles d'hygiène fondamentaux, et force est de constater que nombre des attaques actuelles réussissent précisément parce que ces contrôles de base sont absents. »
Dans notre rapport sur l'enquête de l'année dernière Nous avons également constaté que les efforts de résilience avaient stagné au sein de l'économie britannique. Espérons que nous n'aurons pas à faire le même constat l'année prochaine.
Élargissez vos connaissances
Guide: Le rapport sur l’état de la sécurité de l’information 2025
