Les entreprises flamandes ont encore un long chemin à parcourir avant d’être à la hauteur des cybermenaces.
Le dernier CS-Barometer 2024 de VLAIO cartographie la maturité de la cybersécurité des entreprises flamandes et présente un tableau mitigé. La sensibilisation augmente et de plus en plus d’entreprises prennent des mesures, mais les lacunes persistent. Les PME, en particulier, sont à la traîne en matière de protection technique, de planification stratégique et de développement des connaissances internes.
Tout le monde ne prend pas de mesures
L’étude montre que 96,9 % des entreprises flamandes prennent au moins une mesure en matière de cybersécurité (CS). Pourtant, il s’agit souvent d’actions de base : 91,3 % effectuent des mises à jour logicielles régulières, 89,7 % effectuent des sauvegardes et 71,1 % utilisent des règles de mot de passe complexes. Les mesures plus approfondies telles que la tenue de fichiers journaux (49 %), les audits ICT périodiques (41,2 %) ou les tests de sécurité (36,1 %) sont beaucoup moins appliquées. Seuls 29,3 % utilisent le cryptage et à peine 26 % appliquent l’authentification biométrique.
La maturité dépend de la taille de l’entreprise. Alors que 64,3 % des grandes entreprises appliquent neuf mesures ou plus, ce n’est le cas que de 17,8 % des micro-entreprises et de 22,4 % des petites entreprises. Parmi les micro-entreprises, 16,3 % déclarent prendre moins de trois mesures.
Seule 1 entreprise sur 4 est conforme à la norme NIST
Outre la protection technique, les mesures de gestion sont également essentielles pour détecter les risques et réagir aux incidents. Le CS-Barometer évalue les entreprises flamandes par rapport au cadre NIST en cinq parties. Parmi les entreprises qui prennent au moins une mesure, :
- 74,4 % ont une procédure pour se protéger contre les attaques,
- 61,1 % ont une procédure de récupération,
- 53,9 % ont une procédure de détection,
- 42 % ont une procédure d’identification,
- et 39,1 % ont une procédure de réaction.
Seulement 25,9 % des entreprises ont mis en œuvre les cinq types. 18,3 % n’en ont même aucun. Les micro et petites entreprises sont particulièrement à la traîne : seulement 23,1 % des micro-entreprises satisfont à toutes les exigences NIST, contre 58,7 % des grandes entreprises.
Plans politiques et formations
Un document de politique CS n’est pas présent dans la plupart des entreprises flamandes. Seulement 23,4 % ont élaboré un tel plan. Parmi les grandes entreprises, ce chiffre est de 61 %, contre seulement 16,7 % pour les micro-entreprises.
Les formations restent également sous-utilisées. Seulement 43 % des entreprises proposent des activités de sensibilisation à leurs employés. Alors que 42,8 % des répondants considèrent le manque de sensibilisation comme un risque majeur. Parmi les grandes entreprises, 55 % considèrent même qu’il s’agit de la principale menace.
Chaîne d’approvisionnement trop peu sécurisée
Seulement 28 % des entreprises imposent des exigences de cybersécurité aux fournisseurs ou sous-traitants. Une proportion encore plus faible (24,9 %) reçoit elle-même de telles exigences de la part de ses clients. Pourtant, cela devient de plus en plus important : la proportion d’entreprises qui se voient imposer des exigences par les clients a augmenté de manière significative depuis 2022.
La plupart des entreprises (74,8 %) font appel à des prestataires de services IT externes. Seulement 34,9 % font appel à des experts CS spécialisés. Les grandes entreprises font plus souvent appel à leur propre personnel (89,6 %) et à des services spécialisés (66 %). Les micro-entreprises, en revanche, dépendent fortement de partenaires IT généraux externes.
Cyberincidents et progrès lents
En 2024, 3,9 % des entreprises ont déclaré avoir été victimes d’une cyberattaque réussie. 41,9 % ont signalé une ou plusieurs tentatives infructueuses. Environ 1 entreprise sur 5 (19,6 %) a été confrontée à des incidents ICT non malveillants, tels que des pannes dues à des défauts matériels. Les grandes entreprises signalent plus souvent des incidents que les petites.
43,8 % des entreprises ont augmenté leur budget de cybersécurité au cours de l’année écoulée. En moyenne, le budget CS représente désormais 22 % du budget IT total, soit une augmentation par rapport aux années précédentes. Pourtant, de nombreuses entreprises indiquent qu’elles rencontrent des obstacles, tels que :
- Manque de connaissances ou d’expérience (60,7 %),
- Difficultés de recrutement (39,9 %),
- Manque de sensibilisation du personnel (57,4 %),
- Crainte de mesures obsolètes (37,7 %).
La maturité de la cybersécurité des entreprises flamandes croît lentement, mais reste inégalement répartie. Les petites et micro-entreprises restent les plus vulnérables. Un investissement structurel dans les connaissances, la sensibilisation et la planification stratégique est nécessaire si la Flandre veut un jour devenir numériquement résiliente.
