Si 94 % des responsables IT considèrent leurs dispositifs de cyber-résilience efficaces, 60 % des entreprises s’attendent malgré tout à subir une perturbation critique en 2025. Dans un environnement où les attaques par ransomware se multiplient et génèrent des milliards de dollars de pertes chaque année, l’enjeu n’est plus seulement d’empêcher les intrusions, mais de garantir la capacité à s’en remettre rapidement.
Une prise de conscience limitée au sein des directions
L’étude met en évidence un problème majeur : le manque d’implication des dirigeants dans les stratégies de cyber-résilience. Seuls 39 % des responsables IT estiment que ce sujet figure parmi les priorités de leur direction, et 49 % jugent les investissements actuels insuffisants pour répondre aux défis croissants.
Ce déficit d’engagement se traduit aussi dans les décisions opérationnelles : moins de la moitié (44 %) des RSSI participent activement à l’élaboration des stratégies de résilience, et seulement 36 % des entreprises intègrent ces plans à leur stratégie globale. Pour Jay Chaudhry, PDG de Zscaler, ce manque d’anticipation est un risque majeur : « La possibilité d’un scénario de défaillance majeure pour les organisations n’est pas un ‘si’ mais un ‘quand’. Cela prouve la nécessité d’une résilience proactive pour combattre et atténuer les incidents inévitables avant qu’ils ne deviennent critiques. »
Une approche encore trop tournée vers la prévention
L’étude souligne également un déséquilibre dans la répartition des investissements en cybersécurité. 60 % des entreprises concentrent leurs ressources sur la prévention, au détriment des capacités de réponse et de récupération. 43 % des budgets sont dédiés exclusivement à l’anticipation des attaques, laissant peu de place aux stratégies de remédiation et de continuité d’activité. Pourtant, même parmi celles qui misent sur la prévention, certaines technologies essentielles restent sous-exploitées :
- 44 % des entreprises utilisent des outils avancés de détection des risques,
- 42 % intègrent la micro-segmentation Zero Trust,
- 35 % déploient des technologies de leurre pour ralentir les attaquants.
Cette approche trop défensive expose les entreprises à des perturbations prolongées en cas d’attaque réussie. Pour James Tucker, Head of EMEA CISOs en Résidence chez Zscaler, l’évolution des menaces impose un changement de paradigme : « Une stratégie de résilience sérieuse garantit des fondations qui ne s’effondreront pas, même en cas d’attaque réussie, et qui peuvent être renforcées plus rapidement. »
Vers une approche « Resilient by Design » basée sur le Zero Trust
Pour améliorer leur posture de sécurité, les entreprises doivent adopter une architecture Zero Trust, qui repose sur des principes d’accès conditionnel et de limitation des mouvements latéraux en cas de compromission. L’approche « Resilient by Design » de Zscaler vise ainsi à réduire les risques à chaque étape d’une cyberattaque :
- Réduction de la surface d’attaque,
- Blocage des compromissions initiales,
- Élimination des déplacements latéraux,
- Prévention des fuites de données.
Méthodologie :
Zscaler a confié en décembre 2024 à Sapio Research la réalisation d’une enquête auprès de 1 700 responsables informatiques répartis sur 12 pays, incluant l’Australie, la France, l’Allemagne, l’Inde, l’Italie, le Japon, les Pays-Bas, Singapour, l’Espagne, la Suède, le Royaume-Uni & l’Irlande, ainsi que les États-Unis. L’étude s’est concentrée sur des professionnels IT travaillant dans des entreprises de plus de 500 salariés, couvrant divers secteurs d’activité. Le rapport complet de Zscaler, « Unlock the Resilience Factor : Pourquoi la résilience by design est le prochain impératif en matière de cybersécurité », détaille ces recommandations et peut être téléchargé en ligne sur ce lien.