Les grandes entreprises mondiales sont de mieux en mieux préparées aux attaques informatiques mais rencontrent toujours des difficultés à s’en rétablir une fois touchées. Et la problématique repose principalement sur le facteur humain. 55% des entreprises sondées identifient les employés comme la première source de préoccupations en la matière.
Selon l’étude annuelle d’EY conduite au niveau mondial en matière de sécurité de l’information (« GISS ») et intitulée « Path to cyber resilience: Sense, resist, react », les entreprises mondiales ont plus que jamais confiance en leurs capacités d’anticipation et de résistance en cas de cyber-attaques sophistiquées, mais sont à court d’investissements et de plans quand il s’agit de se relever d’une attaque dans l’environnement actuel où les menaces vont toujours grandissantes.
La 19ème édition de cette étude, menée auprès de 1.735 organisations à l’échelle mondiale, analyse certaines des questions les plus préoccupantes en matière de cyber-sécurité, auxquelles les entreprises sont actuellement confrontées dans l’écosystème numérique. L’étude souligne que la moitié des entreprises sondées (50%) estiment être à même de détecter une cyber-attaque sophistiquée, soit le meilleur niveau de confiance depuis 2013, en raison d’investissements consentis dans les secteurs suivants : la collecte d’informations liées aux cyber-menaces afin d’anticiper ce que les attaques peuvent leur réserver, les mécanismes de suivi continu, les centres opérationnels de sécurité (« COSs ») ainsi que les mécanismes de défense active.
Néanmoins, malgré ces investissements, 86% des sondés indiquent que leur fonction cyber-sécurité ne répond pas totalement aux attentes de leur organisation.
En effet, presque deux-tiers (64%) des organisations ne disposent pas d’un programme formel de renseignements en matière de menace ou ont uniquement un programme informel à leur disposition. Quand il s’agit d’identifier les vulnérabilités, plus de la moitié (55%) ne disposent pas de capacités d’identification ou disposent uniquement de capacités informelles, 44% n’ont pas de rapport de type SOC destiné au suivi continu des attaques informatiques.
Quand il est question d’incidents importants récents liés à la cyber-sécurité, plus de la moitié des sondés (57%) ont rapporté un incident. Près de la moitié des sondés (48%) ont cité l’obsolescence de leurs contrôles ou de leur architecture de sécurité de l’information comme étant leur vulnérabilité la plus élevée, soit une hausse de 14% en comparaison des 34% l’ayant citée en 2015.
En outre, les sondés indiquent une augmentation de leurs menaces les plus significatives en matière de cyber-sécurité, à savoir les logiciels malveillants, le phishing, les cyber-attaques à des fins de vol d’informations financières ou de vol de propriété intellectuelle ou bien encore de vol de données.
Les principales menaces
Brice Lecoustey, à la tête du département Conseil pour le secteur commercial et public chez EY Luxembourg, commente : « Les organisations ont bien progressé dans leur préparation en cas de faille dans la cyber-sécurité, mais ces avancées rapides n’empêchent pas les auteurs de cyber-attaques de trouver de nouveaux stratagèmes. Par conséquent, les organisations doivent aiguiser leurs sens et renforcer leur résistance face aux attaques ».
Olivier Maréchal, à la tête du département Conseil pour le secteur financier chez EY Luxembourg, poursuit: « Mais encore, elles ne doivent pas se cantonner uniquement à la protection et à la sécurité pour arriver à une « cyber-résilience », mais doivent envisager une réponse à l’échelle de l’organisation qui les aide à se préparer et à traiter ces inévitables incidents en matière de cyber-sécurité. En cas d’attaque, elles doivent disposer d’un plan et être préparées à réparer rapidement les dommages pour remettre sur pied l’organisation. Si tel n’est pas le cas, elles mettent en péril non seulement leurs clients, leurs employés et leurs vendeurs mais aussi leur propre avenir ».
La continuité des opérations et la reprise d’activité après sinistre, au centre de la capacité de réaction en cas d’attaque, ont été classées comme leurs priorités les plus significatives (pour 57% des sondés), à égalité avec la prévention des fuites et pertes de données (« DLP »). Si 42% des sondés ont l’intention de consentir davantage d’investissements en matière de DLP, 39% seulement comptent allouer davantage de moyens à la continuité des opérations et à la reprise d’activité après sinistre.
Persistance d’autres vulnérabilités et obstacles
L’étude réalisée cette année met également en évidence les mêmes sources de préoccupation en matière de cyber-sécurité citées par les sondés les années précédentes, telles que les risques accrus émanant d’employés négligents ou mal informés (55% contre 44% en 2015) et un accès non-autorisé aux données (54% contre 32% en 2015). Entre-temps, les obstacles à leur fonction restent virtuellement identiques à ceux identifiés l’an dernier, à savoir :
• des contraintes budgétaires (61% contre 62% en 2015)
• un manque de ressources qualifiées (56% en comparaison de 57% en 2015)
• une prise de conscience insuffisante des responsables ou un manque de soutien de leur part (32%, le même pourcentage qu’en 2015)
Défis posés par l’écosystème numérique et les objets connectés
Même si l’écosystème numérique actuel est toujours plus connecté, l’étude a démontré que 62% des organisations mondiales ne comptent pas augmenter leurs dépenses en matière de cyber-sécurité à la suite d’une faille n’ayant causé aucun dommage à leurs activités. En outre, 58% d’entre elles ne comptent pas non plus augmenter leurs dépenses y relatives si un concurrent faisait l’objet d’une d’attaque, et ce pourcentage passe même à 68% en cas d’’attaque d’un fournisseur. Enfin, dans l’éventualité d’une attaque conduisant à la corruption définitive de données, près de la moitié des sondés (48%) ne préviendraient pas les clients ayant été touchés au cours de la première semaine suivant l’attaque. Plus généralement, 42% des sondés ne disposent pas d’une stratégie de communication ou de plan définis en cas d’attaque significative.
Pour ce qui est des dispositifs spécifiques, les entreprises peinent à gérer leur nombre alors que de nouveaux ne cessent d’être ajoutés à leur écosystème numérique. Près des trois-quarts (73%) des organisations sondées sont préoccupées par la faible prise de conscience et le comportement en matière de dispositifs mobiles tels que les ordinateurs portables, les tablettes et les smartphones. La moitié d’entre elles identifient la perte d’un dispositif intelligent, induisant la perte d’informations et de données, comme un risque majeur en raison de l’utilisation toujours plus répandue des appareils/ dispositifs mobiles.
Source: “EY Global Information Security Survey 2016, Path to cyber resilience: Sense, resist, react.”