Etude Zscaler sur la cyber résilience - Les entreprises doivent revoir leurs stratégies de résilience: 60 % d’entre elles s’attendent à une faille majeure en 2025

• 60 % des entreprises s’attendent à une perturbation critique au cours de l’année à venir
• 94 % des responsables IT estiment que leurs mesures de cyber-résilience actuelles sont efficaces. Pourtant, les attaques par ransomware continuent d'augmenter et coûtent aux entreprises des milliards de dollars par an. 
• Seuls 45% affirment que leur stratégie de cyber-résilience est à jour face à l'essor de l'IA.
• Les organisations doivent examiner de plus près leur capacité à répondre aux cyber-attaques avancées, qui permettent aux acteurs de la menace d'accéder aux systèmes, de se déplacer latéralement et de voler des données sensibles.

Une enquête mondiale menée par Zscaler, leader de la sécurité du cloud, révèle un décalage critique entre la confiance des responsables informatiques dans la capacité de leur organisation à faire face à des scénarios d'échec à venir, comme les cyber-attaques, et l'efficacité des approches actuelles en matière de sécurité. Selon l'enquête « Unlock the Resilience Factor : Why Resilient by Design is the Next Cyber Security Imperative », Zscaler a interrogé 1 700 responsables informatiques dans 12 pays. Il en ressort que près de la moitié (49 %) des personnes interrogées considèrent que leur infrastructure numérique bénéficie d’un haut niveau de résilience. Par ailleurs, 94 % d'entre elles affirment que leurs mesures actuelles de cyber résilience sont efficaces. Cependant, 40 % admettent ne pas avoir revu leur stratégie de cyber-résilience depuis plus de six mois, et seuls 45 % estiment que leur stratégie est à jour face à l'essor de l'IA. Avec l'évolution du paysage des menaces et l'impact dévastateur des attaques de ransomware sur les entreprises, les organisations doivent évaluer leur capacité à répondre aux attaques et à les planifier - ce qui rend cruciale la transition vers une architecture Zero Trust.

La cyber-résilience exige une plus grande priorisation de la part des dirigeants 

L’écart entre la confiance affichée et les stratégies réellement mises en place met en évidence un point de friction majeur : le manque d’investissement de la part du management. Si la majorité des dirigeants reconnaissent l’importance croissante d’une approche robuste en matière de cyber résilience, cette prise de conscience ne se traduit pas toujours dans leurs actions. Dans les faits, seuls une minorité des personnes interrogées, soit 39 %, estiment que la cyber résilience figure parmi les priorités majeures de leurs dirigeants. Ce manque d’engagement se reflète également dans les budgets alloués : 49 % des répondants considèrent que les investissements actuels sont insuffisants face à l’ampleur des défis à relever. 

Le faible engagement des dirigeants en matière de cyber résilience est un constat préoccupant. Dans la plupart des entreprises, la responsabilité de cette planification repose principalement sur les équipes informatiques, sans véritable implication de la direction. Moins de la moitié des responsables informatiques (44 %) indiquent que leur RSSI participe activement à l’élaboration de la stratégie de résilience. De plus, la cyber résilience demeure largement isolée des autres plans stratégiques : seuls 36 % des responsables informatiques affirment qu’elle est intégrée à la stratégie globale de résilience de leur organisation. 

« La possibilité d'un scénario de défaillance majeure pour les organisations n'est pas un 'si' mais un 'quand', comme le montrent les statistiques de notre rapport », déclare Jay Chaudhry, PDG, président et fondateur de Zscaler. « Cela prouve la nécessité d'une résilience proactive pour combattre et atténuer les incidents inévitables avant qu'ils ne deviennent un problème critique pour la continuité de l'activité. La cyber-résilience est fondamentale pour la résilience globale de l'entreprise, et les pare-feu et VPN obsolètes permettent des attaques persistantes, ce qui rend indispensable d’avoir une architecture Zero Trust pour se défendre contre les menaces avancées. Les dirigeants doivent collaborer avec les équipes informatiques pour élaborer une stratégie de cyber-résilience solide basée sur le Zero Trust, en se préparant aux attaques sophistiquées pilotées par l'IA et en en atténuant l'impact. C'est ce que nous appelons devenir « Resilient by Design ».

La prévention est sur priorisée par rapport à la réaction et à la récupération

Bien que 85 % des responsables informatiques estiment que leur entreprise serait capable de résister à une faille majeure ou du moins à s’en remettre, une analyse plus approfondie révèle des lacunes préoccupantes. La majorité (60 %) d’entre eux reconnaît que leur organisation accorde une priorité excessive à la prévention, au détriment des capacités de réponse et de récupération. Cette approche déséquilibrée se traduit concrètement dans l’allocation des ressources : plus des deux cinquièmes (43 %) des stratégies et budgets de cybersécurité sont exclusivement dédiés à la prévention. En conséquence, nombre d’entre elles ne disposent pas des mécanismes nécessaires pour réagir efficacement et reprendre leurs activités aussi rapidement que l’exigent les enjeux opérationnels actuels.

Même parmi les organisations qui concentrent leurs efforts sur la prévention, peu d’entre elles déploient l’ensemble des outils de sécurité proactifs nécessaires pour limiter l’impact des cyberattaques et contenir leur propagation. Moins de la moitié utilisent des mécanismes essentiels tels que la détection des risques (44 %), la micro-segmentation Zero Trust (42 %) et les technologies de leurre (35 %).

« Avec le paysage croissant des menaces, y compris les attaques basées sur l'IA, et la pression continue de la digitalisation qui n'est pas prête de s'atténuer, nos surfaces d'attaques continuent de s'étendre hors de notre contrôle. Une stratégie de résilience sérieuse et proactive garantit des fondations qui ne s'effondreront pas, même en cas d'attaque réussie, et qui peuvent être renforcées plus rapidement », déclare James Tucker, Head of EMEA CISOs en Résidence chez Zscaler. « Les organisations doivent transformer leur réseau et leur architecture de sécurité et adopter une approche Zero Trust, 'Resilient by Design', pour faire face aux dangers de l'avenir numérique. »

Une architecture Zero Trust au service d’une approche « Resilient by Design »
Pour atténuer le risque de cyber-résilience, les organisations devraient intégrer les notions de visibilité et de contrôle dans leur stratégie de sécurité. Comprendre les scénarios de défaillance plus rapidement et de manière plus approfondie grâce à des solutions technologiques basées sur l'IA renforce la posture de résilience et atténue l’impact d’un incident. C'est ce que permet Zscaler avec son approche « Resilient by Design ». Les cybermenaces évoluant et progressant très rapidement, Zscaler s'appuie sur l'IA pour ajuster dynamiquement l'accès, en fonction de l'évolution des risques. Zscaler Zero Trust Exchange réduit les risques aux quatre stades d’une cyber attaque et permet une approche « Resilient by Design » afin de :

• Réduire la surface d'attaque 
• Empêcher la compromission initiale 
• Éliminer les mouvements latéraux 
• Stopper la perte de données

Le rapport d'enquête complet intitulé « Unlock the Resilience Factor : Pourquoi la résilience by design est le prochain impératif en matière de cybersécurité » peut être téléchargé via ce lien.

--/--

Méthodologie de l’étude de Zscaler sur la cyber résilience

En décembre 2024, Zscaler a mandaté Sapio Research pour mener une enquête auprès de 1 700 responsables informatiques répartis sur 12 marchés internationaux : Australie, France, Allemagne, Inde, Italie, Japon, Pays-Bas, Singapour, Espagne, Suède, Royaume-Uni & Irlande, et États-Unis. L’étude a été réalisée auprès de professionnels IT issus d’entreprises de plus de 500 employés et dans l’ensemble des secteurs d’activité.

Déclarations prospectives

Ce communiqué de presse comprend des déclarations prospectives basées sur les convictions actuelles et les hypothèses de notre direction, ainsi que sur les informations disponibles à ce jour. Ces énoncés prospectifs comprennent des prédictions sur nos offres de produits et notre capacité à soutenir une approche « résiliente par conception » pour aider les entreprises à mieux anticiper et atténuer les menaces de cybersécurité. Ces déclarations prévisionnelles sont conformes aux dispositions de la sphère de protection établie par le Private Securities Litigation Reform Act de 1995. Ces énoncés prospectifs sont assujettis à un certain nombre de risques, d'incertitudes et d'hypothèses, y compris la capacité de nos services à réduire les risques et à atténuer les effets d'incidents cybernétiques potentiels pour nos entreprises. En effet,  un nombre important de facteurs pourraient faire en sorte que les résultats réels diffèrent sensiblement de ceux énoncés dans le présent communiqué de presse. D'autres risques et aléas sont présentés dans notre dernier rapport annuel sur le formulaire 10-Q déposé auprès de la Securities and Exchange Commission (« SEC ») le 5 décembre 2024, et disponible sur notre site internet à l'adresse ir.zscaler.com et sur le site internet de la SEC à l'adresse www.sec.gov. Toute déclaration prospective contenue dans le présent communiqué est basée sur les informations limitées dont dispose actuellement Zscaler à la date du présent communiqué, lesquelles sont susceptibles de changer. Zscaler se réserve le droit de ne pas actualiser ces informations, même si de nouvelles informations venaient à être disponibles à l'avenir.