1 ÈRE ÉDITION DU BAROMÈTRE DE LA CYBER-SÉCURITÉ EN AFRIQUE ANALYSE EXCLUSIVE DE LA CYBER-SÉCURITÉ DES
GRANDE ENTREPRISES EN AFRIQUE Le CLUB EXPERTS DE LA SÉCURITÉ DE L’INFORMATION EN AFRIQUE (CESIA) dévoile les
résultats de sa première grande enquête.
Paris le 8 février 2021 – Afin de mieux cerner l’état de l’art et la perception de la cybersécurité et de ses enjeux au sein des grandes entreprises en Afrique, le Club des Experts de la Sécurité de l’Information en Afrique (CESIA) publie la première édition son baromètre annuel après une
phase pilote l’année dernière menée sur 4 pays. Cette année, le sondage a été réalisé sur les 18 pays Africains dans lesquels sont répartis ses 120 membres. Les résultats de l’étude portent sur un échantillon de 76 répondants soit 63%. Ils mettent à jour la réalité concrète de la Cybersécurité sur le continent et constituent des chiffres aussi révélateurs qu’alarmants.
L’association dévoile aujourd’hui les résultats de cette enquête indépendante et exclusive menée auprès de ses membres : Directeurs des Systèmes d’Information (DSI), Directeurs de la Sécurité des Systèmes d’Information (DSSI) ou Responsables de la Sécurité des Systèmes d’Information (RSSI) des grandes entreprises en Afrique.
« Les pertes mondiales imputables aux attaques informatiques ont atteint les 1000 milliards de dollars en 2020, soit plus d’1% du PIB mondial » selon le rapport inquiétant de McAfee de Décembre 2020. Au moment où les dommages engendrés par la Cybercriminalité à l’échelle mondiale sont particulièrement croissants, en Afrique seules 50% des grandes entreprises considèrent la Cyber-sécurité comme une priorité. Une sensibilisation efficace devrait cibler les 43% de celles qui estiment que le sujet est de priorité moyenne et des autres 7% pour lesquelles ce n’est pas du tout un sujet.
Les entreprises africaines sont de plus en plus conscient des risques liée à la transformation digital, 50% d’entre elles considèrent la cybersécurité comme étant une priorité tandis que pour 43%, la cybersécurité est moyennement un sujet et enfin les 7% restant, ce n’est pas du tout un sujet.
Cette année encore le Phishing reste le vecteur d’attaque le plus fréquent, 70% des entreprises en ont été victimes (une hausse de 5% par rapport à 2019), les tentatives de connexion 44% d’entre elles, suivi par l’ingénierie sociale (29%).
Ces attaques ont pour conséquences principales l’infection par un malware (24%), le vol de données personnelles (18%) et l’infection par ransomware (13%).
En considérant la Cybersécurité comme un sujet important, les entreprises prennent les dispositions techniques et humaines pour se protéger. Ce qui n’est pas toujours le cas 43% qui la considèrent comme moyennement importante. Le taux d’entreprises déclarant avoir subi au moins une cyber-attaque est en hausse 82%, contre 65% en 2019. Le Phishing ou hameçonnage reste le vecteur d’attaque le plus fréquent : 70% des entreprises Africaines en ont été victimes soit une hausse de 5% (par rapport à 2019). 44% d’entre elles ont enregistré des tentatives frauduleuses de connexion et 29% des attaques d’ingénierie sociale.
Les conséquences non-négligeables de ces attaques ont été les infections par malware et ransomware qui ont impacté 37% de nos grandes entreprises. Nous notons cependant un enthousiasme croissant des pirates sur le vol des données personnelles africaines dont 18% des
sociétés ont été victimes, chiffre en nette augmentation par rapport aux années précédentes
En somme, 94% d’entre elles constatent des conséquences importantes sur le business.
Ces dernières se traduisent principalement par un impact direct l’image et la réputation de
l’entreprise (27%) et 10% indiquent une perte du chiffre d’affaires.
LA PRISE DE CONSCIENCE DES RISQUES ENTRAÎNE LA CYBER-RÉSILIENCE
70% des entreprises mettent en place un programme de cyber-résilience ou envisagent de le faire (une hausse de 15% par rapport à l’année dernière). En parallèle, 19% des entreprises ont souscrit à une cyber-assurance, ce qui est un nouveau paradigme dans le contexte africain renforce cette perception de prise de conscience des cyber-risques.
Le taux d’entreprises déclarant avoir subit au moins une cyber-attaque est en hausse 82%,contre 65% en 2019 (NB : écart de résultat nuancé le nombre de participants à l’enquête ayant fortement augmenté cette année, 4 pays en 2019 contre 18 pays en 2020)
En revanche 94% d’entre elles constatent des conséquences importantes sur le business.
Ces dernières se traduisent principalement par un impact direct l’image et la réputation de l’entreprise (27%) et 10% indiquent une perte du chiffre d’affaires.
Parmi les outils de protection les plus couramment mis en place dans les entreprises, on note les passerelles VPN/SSL (75%), les Proxy et filtrage d’URL (66%) et des solutions d’authentification multi-facteurs (61%).
LA CRISE SANITAIRE LIÉE AU COVID-19
La crise sanitaire liée à la pandémie de la COVID-19 a engendré les évolutions des plans de continuité d’activité (24%) et la généralisation du télétravail (34%). Cependant faute de préparation 58% attestent que seuls moins de 10% des collaborateurs des entreprises ont été en télétravail. La pandémie étant toujours de mise 53% des entreprise généralisent le télétravail ou étudient cette option. 58% des entreprises disent n’avoir pas été préparées disent n’avoir pas été préparé à la généralisation du télétravail.
Le top 3 des risques liés au télétravail sont : Maintenir un niveau de sécurité satisfaisant du poste de travail quand celui-ci est en dehors des locaux et surtout lorsqu’il n’est pas connecté en permanence au réseau de l’entreprise (85%), Empêcher les fuites de données lorsque les utilisateurs sont livrés à eux-mêmes avec des outils collaboratifs déployés à la va-vite sans avoir pris le temps de les former à ces solutions très riches mais souvent très complexes à utiliser (66%) et Maintenir le niveau de sensibilisation des collaborateurs aux risques SI à distance (55%).
CLOUD ET IOT : DES RISQUES ACCRUS AVEC LA TRANSFORMATION NUMÉRIQUE
Le recours massif au cloud, utilisé par 71% des entreprises, dont 22% stockent une partie de leurs données dans des clouds publics, est noté parmi les risques les plus élevés. En tête l’indisponibilité d’accès Internet (64%), la confidentialité des données vis-à-vis de l’hébergeur
(47%) et la difficulté de mener des audits (39%).
Les objets connectés font apparaître de nouvelles typologies de menaces dues à l’absence de chiffrement pouvant porter atteinte à la confidentialité des données, ou l’absence d’authentification avec des accès non protégés…
QUID DE LA SENSIBILISATION DES SALARIÉS ?
Pour les DSI et RSSI risque cyber le plus répandu est la négligence des salariés (34%).
Le Shadow IT est massivement répandu comme étant une menace à traiter. En effet, l’usage notoire des applications et services cloud le plus souvent gratuits, s’est banalisé et échappe toujours au contrôle de la DSI. Cela accroît significativement les risques, comme les fuites de
données via les outils de transfert d’information ou de partage de fichiers volumineux. D’autant que l’utilisation même anecdotique d’un service Cloud non sécurisé, peut suffire à compromettre l’intégrité et la sécurité des données de l’entreprise.
Les salariés sont pourtant sensibilisés aux cyber-risques (72%), cependant d’après les RSSI, ils sont seulement moins de la moitié à respecter les recommandations (21%). Pour tenter de mobiliser les salariés plus durablement, 41% des entreprises ont mis en place un processus pour tester l’application des recommandations par les salariés.
LES ENTREPRISES AFRICAINES SONT-ELLES EN CAPACITÉ DE DÉFENDRE LEURS INFRASTRUCTURES ?
La confiance des DSI et RSSI quant à la capacité de leur entreprise à faire face aux cyber-risques a progressé en un an, 52% se disent assez-confiants contre 35% l’année dernière. 45% des entreprises se disent préparées en cas de cyber-attaque de grande ampleur.
LES ENJEUX POUR L’AVENIR RESTENT ESSENTIELLEMENT HUMAINS
Cette année, la sensibilisation et la formation prend la première place dans l’enjeux de demain (88%) suivi de la gouvernance (77%) qui perd 3% par rapport à l’année dernière.
Les ressources humaines sont une demande forte des entreprises, 42% des entreprises constatent une pénurie de profil en SSI entraînant des difficultés de recrutement en particulier pour les métiers de pilotage, d’organisation et de gestion des risques (37%), suivi par les profil liés aux opérations et maintien en condition opérationnelle (administrateur sécurité, technicien
sécurité, etc.)
L’augmentation du budget est un autre enjeu majeur, 47% des RSSI ont un budget de moins
de 5% du budget IT.
BAROMÈTRE DE LA CYBER SÉCURITÉ EN AFRIQUE
Une enquête réalisé par le CLUB D’EXPERTS DE LA SÉCURITÉ DE L’INFORMATION EN AFRIQUE (CESIA) en
ligne du 3 au 24 janvier 2021 au près de 76 membres du CESIA repartis sur 18 pays d’Afrique.
Retrouvez l’intégralité des résultats du sondage du CESIA.
Disponible sur demande
BAROMÈTRE DE LA CYBER SÉCURITÉ EN AFRIQUE
Une enquête réalisé par le CLUB D’EXPERTS DE LA SÉCURITÉ DE L’INFORMATION EN AFRIQUE (CESIA) en
ligne du 3 au 24 janvier 2021 au près de 76 membres du CESIA repartis sur 18 pays d’Afrique.
Source: lecesia