Les invités

Les entreprises sont trop peu protégées face aux cyberattaques

De nombreux comptes-rendus évoquent clairement les dangers des cyberattaques contre les entreprises: l’irrespect, la ruse et la maîtrise professionnelle de ces attaques ne cessent d’augmenter. Les derniers résultats de l’enquête Global Information Security Survey, Get Ahead of Cybercrime d’EY, pour laquelle 1825 entreprises dans 60 pays, dont la Suisse, ont été sondées, attestent les faits suivants.

La majorité des entreprises (67%) se trouvent exposées aux menaces croissantes dans le domaine de la sécurité des données et 37% ne disposent pas d’informations en temps réel concernant les risques d’Internet, qui sont pourtant nécessaires à leur protection.

Beaucoup d’entreprises manquent de la flexibilité, des moyens financiers et du savoir-faire nécessaires pour limiter les points faibles, se préparer aux cyberattaques et faire face aux problèmes qui en découlent. 43% affirment que leur budget global consacré à la sécurité des données restera inchangé dans les 12 mois à venir, malgré les menaces croissantes. C’est une légère amélioration par rapport à 2013 (46%).

Pour 53% des entreprises, le manque de personnel qualifié est l’un des plus grands obstacles à la sécurité des données; par ailleurs, seules 5% des entreprises disposent d’une équipe d’analystes spécialisés dans la lutte contre ces menaces. Ces résultats sont assez proches de ceux de l’année 2013, où 50% faisaient valoir un manque de personnel qualifié et 4% disposaient d’une équipe d’analystes spécialisés.

Les «collaborateurs imprudents ou inconscients des dangers» représentent le principal point faible selon les entreprises. 38% des entreprises considèrent ce secteur comme une priorité absolue. Les «contrôles et architectures obsolètes de la sécurité des informations» ainsi que «l’utilisation des services de l’informatique en nuage» obtiennent respectivement la deuxième et la troisième place avec 35 et 17%. Le «vol d’informations financières», la «perturbation ou l’atteinte à l’organisation» et le «vol de propriété ou de données intellectuelles» constituent les trois plus grandes menaces (respectivement 28%, 25% et 20% les considèrent comme des priorités principales).

L’étude démontre que les entreprises doivent mieux anticiper les attaques dans un environnement où il n’est plus possible d’éviter l’ensemble des attaques provenant d’Internet et où les dangers émanent de sources toujours plus équipées et plus fortes financièrement. Les organisations développeront une stratégie de gestion des risques uniquement lorsqu’elles sauront comment devancer les cybercriminels. Les cyberattaques peuvent avoir de nombreuses conséquences (financières, sur la marque, la réputation). Les entreprises doivent passer d’une attitude réactive à une attitude proactive et devenir des adversaires redoutables pour les cybercriminels et non plus des cibles faciles. L’organisation doit être constamment prête, anticiper les nouvelles menaces et abandonner sa passivité. Les éléments suivants sont recommandés:

– Rester vigilant face aux nouvelles menaces: les dirigeants devraient considérer les menaces et les risques cybernétiques comme une tâche clé et mettre en place un processus décisionnel dynamique permettant de prendre des mesures préventives.

– Connaître les menaces existantes: les organisations devraient disposer d’une base de connaissance approfondie et néanmoins ciblée de la situation générale des menaces et de leurs éventuelles conséquences sur les organisations, et investir dans les informations concernant les menaces cybernétiques.

– Identifier ses propres «joyaux de la couronne»: l’identification des actifs les plus importants pour l’organisation et la manière dont ils peuvent être traités et protégés en priorité devrait être admise au sein de l’organisation dans son ensemble.

– Se concentrer sur la gestion de crise: les organisations devraient contrôler régulièrement leurs ressources correspondantes.

– Apprendre et évoluer: la sauvegarde numérique des traces est un élément important de l’ensemble. Les organisations devraient analyser précisément les données d’incidents et d’attaques, maintenir les coopérations existantes et en établir de nouvelles, et réviser régulièrement leur stratégie.

Les entreprises doivent également s’interroger sérieusement sur leur environnement économique et se demander comment les relations avec les tiers et les fournisseurs peuvent influencer sur leur profil de sécurité. C’est uniquement lorsqu’une organisation est entièrement prête en matière de cybersécurité qu’elle peut vraiment profiter de son investissement dans ce domaine. C’est la seule manière pour les entreprises de devancer les cybercriminels, de développer leurs moyens avant d’en avoir vraiment besoin et de se préparer aux menaces avant qu’il ne soit trop tard.

* Information Security Leader, EY Suisse

Pour 53% des entreprises, le manque de personnel qualifié est l’un des plus grands obstacles