Dans un contexte en pleine mutation (RGPD, hausse des cyber-attaques…), les équipes « Cybersecurity and Digital Trust » du cabinet Wavestone ont souhaité analyser les niveaux de maturité des entreprises du CAC 40 en matière de cybersécurité selon un prisme particulier. En effet, pour cette étude, le cabinet a analysé les rapports annuels et documents de références de ces 40 entreprises publiés au 01/06/2018. Les résultats de cette étude unique donnent un aperçu du niveau de maturité déclaré des entreprises du CAC 40 et son évolution, sur différents aspects : implication des comités exécutifs, investissements en cybersécurité, RGPD…
Un sujet majeur qui fait désormais l’unanimité au sein des entreprises du CAC 40
Preuve que les entreprises sont de plus en plus mobilisées autour de la cybersécurité, 100% des rapports d’activité des entreprises du CAC 40 font mention des enjeux de sécurité SI, alors qu’en 2010, elles n’étaient que 73% à y faire mention.
De même, alors que 45% des sociétés mettaient en avant leurs initiatives de plans d’actions de couverture du risque en 2010, plus de 88% des entreprises le mentionnent en 2018.
Cybersécurité : le CAC 40 en dessous de la moyenne…
Pour évaluer le niveau de maturité des entreprises en matière de cybersécurité, les équipes du cabinet ont mis au point le Wavestone Annual Report Cyber maturity Index. Celui-ci permet d’évaluer les enjeux et les risques, la gouvernance et la réglementation ainsi que les actions de protection mises en place dans les entreprises.
Chose étonnante, sur la base de cet index, les entreprises du CAC 40 se sont révélées être en dessous de la moyenne… Ainsi, seules 58% d’entre elles mentionnent le RGPD et les données personnelles dans leur rapport. Parmi les différents secteurs, ce sont ceux de la finance et des technologies de l’information que l’on retrouve en haut du classement.
Des investissements morcelés…
Si les rapports d’activités font difficilement état des niveaux d’investissements engagés par les entreprises du CAC 40, l’analyse révèle que dans la plupart des cas (75%) les investissements sont consentis sur des plans d’actions unitaires. Seuls 12,5% mentionnent des programmes de sécurité impliquant des investissements conséquents.
…et des programmes d’innovation qui font l’impasse sur la cybersécurité
En effet, parmi les lancements de projets d’innovation mentionnés dans les rapports, seuls 20% d’entre eux font référence à des chantiers en lien avec la cybersécurité dans le domaine de l’IoT, alors qu’ils sont totalement absents des projets des domaines de l’IA ou de la Blockchain.
« Les résultats de l’analyse des rapports annuels montrent que les grandes entreprises ont encore un chemin à parcourir pour valoriser à juste niveau leurs efforts réalisés auprès de leurs actionnaires et investisseurs. Alors que ces derniers sont de plus en plus attentifs aux sujets de cybersécurité et que les agences de notations financières ajoutent ces critères dans leurs évaluations », déclare Gérôme BILLOIS, Partner au sein du cabinet Wavestone.
Méthodologie de l’étude
Cette étude repose sur une analyse factuelle des derniers documents de référence, publiés au 01/06/2018 par les entreprises du CAC 40. L’analyse se fonde uniquement sur les éléments présentés dans les documents de référence. Il est à noter que ces documents ne reflètent pas toujours l’exhaustivité des actions menées sur le terrain.