L’attente est dangereuse: de nombreuses entreprises n’augmentent leurs dépenses en matière de sécurité qu’en cas de dommage

31 octobre 2018

►    Pour 63 pour cent des entreprises, une cyberattaque sans dommage ne constituerait pas un motif suffisant pour augmenter les investissements en matière de sécurité

►    54 pour cent des entreprises ont déjà subi une cyberattaque

►    Certains responsables de l’informatique et de la sécurité considèrent qu’il est nécessaire d’augmenter sensiblement le budget relatif à la défense contre les cyberattaques

►    30 pour cent se plaignent que leur entreprise ne dispose pas des connaissances nécessaires
L’économie est de plus en plus interconnectée – et les données clients, le secret des affaires et la communication interne sont donc vulnérables aux attaques de hackers. La majorité des entreprises (54 pour cent), par exemple, a subi récemment une cyberattaque. Et pourtant, les entreprises attendent souvent qu’un incident grave se produise avant d’améliorer leurs systèmes de sécurité : pour 63 pour cent d’entre elles, une cyberattaque sans dommage ne les inciterait probablement pas à augmenter leurs dépenses en matière de sécurité. Seul un dommage concret constituerait éventuellement, pour 76 pour cent des personnes interrogées, un motif suffisant pour augmenter les dépenses liées à la cybersécurité, comme il ressort de l’étude actuelle « Global Information Security Survey 2018-2019 » du cabinet d’audit et de conseil EY. Plus de 1 400 responsables de l’informatique et de la sécurité ont participé à l’enquête, réalisée pour la 21ème fois à travers le monde.

Toutefois, les dépenses relatives à la défense contre les attaques sur Internet augmentent pour la majorité des entreprises : les deux tiers des personnes interrogées s’attendent à un budget plus élevé dans les douze mois à venir. Dans 15 pour cent des cas, il devrait même augmenter de plus d’un quart. Mais malgré cette dotation financière plus élevée, le budget pourrait ne pas suffire pour se défendre contre les cyberattaques : 40 pour cent des responsables de l’informatique et de la sécurité estiment qu’augmenter le budget d’un quart ou même nettement plus est indispensable.

« Les cyberattaques dans les entreprises ne sont plus rares depuis longtemps. Bien au contraire, elles font partie du quotidien », confie Tom Schmidt, Cybersecurity Leader chez EY FSO en Suisse. « Même les entreprises n’ayant subi aucune attaque pourraient être concernées sans en être conscientes. Les entreprises qui ne réagissent que « quand l’enfant est déjà tombé dans le puits » font preuve d’une grande négligence. Un dommage peut avoir très vite des conséquences désastreuses : certaines données clients tombent entre de mauvaises mains, les serveurs peuvent être paralysés, ce qui entraîne de très onéreuses interruptions de la production ainsi que le vol de secrets des affaires et une perte de confiance durable des partenaires commerciaux. » Par ailleurs, seules 16% des entreprises financières interrogées (banques, compagnies d’assurance, gestionnaires d’actifs) déclarent que leur reporting de sécurité de l’information au sein de l’entreprise répond à leurs besoins. Cependant, les autres secteurs obtiennent des résultats encore pires dans ce domaine.

Manque de connaissance et d’argent, un obstacle à la cybersécurité

L’argent est certes un facteur restrictif pour la défense contre les cyberattaques – mais pas obligatoirement le plus important. 25 pour cent des personnes interrogées indiquent que leurs contraintes budgétaires restreignent l’efficacité de la cybersécurité. 30 pour cent même disent que leur entreprise ne dispose pas des connaissances nécessaires  – et ce, jusqu’aux niveaux les plus élevés de la hiérarchie : dans six entreprises sur dix, le responsable de la cybersécurité n’est pas membre de la direction ou du conseil d’administration. C’est sans doute la raison pour laquelle seulement 39 pour cent des responsables de l’informatique et de la sécurité interrogés répondent sans ambiguïté par « oui » à la question de savoir si leur direction est clairement consciente des risques de cyberattaques et si des mesures appropriées sont prises.

« De nombreuses entreprises sont en train d’élaborer ou de mettre en œuvre une stratégie numérique. Dans le même temps, c’est une excellente occasion d’inclure la cybersécurité dès le départ et d’en faire une partie intégrante des processus opérationnels et de leur résilience. Les entreprises sont bien avisées de comprendre la cybersécurité comme une base de confiance et un facteur décisif pour le succès de l’entreprise et d’en faire une priorité absolue pour la direction », ajoute Roman Haltinner, responsable de la cybersécurité pour les entreprises industrielles chez EY.

Les grandes entreprises détectent mieux les attaques que les PME

Souvent, les PME n’ont pas les ressources et les structures nécessaires pour détecter immédiatement les attaques. 64 pour cent des responsables de l’informatique et de la sécurité de grandes entreprises (réalisant un chiffre d’affaires annuel d’au moins CHF 1 milliard) indiquent être vraisemblablement en mesure de détecter une cyberattaque très sophistiquée. En revanche, 56 pour cent seulement des PME sont aussi optimistes. Cela dépend également des structures dont disposent les entreprises : néanmoins, 16 pour cent des attaques enregistrées ont été détectées par un « Security Operations Center », dans lequel la cybersécurité de l’entreprise est coordonnée. Mais 40 pour cent seulement des PME ont mis en place un tel centre, alors que 72 pour cent des grands groupes l’ont fait. « Les PME qui n’ont pas l’argent ou les connaissances nécessaires pour mettre en place des solutions internes devraient évaluer l’externalisation des solutions de sécurité. C’est la seule manière pour elles de se protéger raisonnablement des attaques », précise Roman Haltinner.

Informations relatives aux clients et aux finances : des données particulièrement sensibles

Les risques les plus importants liés à la sécurité sont, pour les personnes interrogées, directement liés aux activités opérationnelles : du point de vue des responsables de l’informatique et de la sécurité, les informations relatives aux clients, celles qui touchent aux finances et les plans stratégiques sont les données les plus sensibles que les criminels peuvent s’approprier. La lacune de sécurité numéro un, ce sont, selon les personnes interrogées, les propres collaborateurs de l’entreprise : un tiers d’entre elles indiquent que les collaborateurs inattentifs ou imprudents constituent une porte d’entrée pour les cybercriminels; un quart considèrent que l’obsolescence des programmes de sécurité est responsable.

« Les collaborateurs doivent être formés régulièrement à la sécurité des données », souligne l’expert en cybersécurité Tom Schmidt. « Les êtres humains sont toujours le principal point faible en matière de sécurité. Ils se font piéger par des attaques de phishing ou surfent sur des sites malveillants. Les entreprises peuvent réduire ce risque par le biais de programmes de formation. »

 

Recommandé pour vous