Cet article fait partie de notre guide: Sécurité : où sont les projets ?

Sécurité : temps et budgets encore trop négligés

S’appuyant sur le sondage de près de 3000 entreprises à travers le monde, Kaspersky Labs tire - une nouvelle fois - la sonnette d’alarme : temps et budgets alloués à la sécurité semblent largement insuffisants face une menace de plus en plus prégnante.

S’appuyant sur le sondage de près de 3000 entreprises à travers le monde, Kaspersky Labs tire - une nouvelle fois - la sonnette d’alarme : temps et budgets alloués à la sécurité semblent largement insuffisants face une menace de plus en plus prégnante.

Il faut faire plus, semble indiquer l’étude réalisée par B2B International pour Kaspersky auprès de près de 3000 entreprises du monde entier, dont une petite centaine en France. Ainsi, en Europe, seulement 38 % des sondés estiment disposer d’un temps et d’un budget suffisant pour développer leurs politiques de sécurité IT. L’éditeur souligne que 32 % des sondés ont en outre indiqué que les personnels de leurs organisations peinent à se conformer aux règles de sécurité en place. Des règles incomprises pour 38 % des sondés.  Et pourtant, 60 % des personnes interrogées ont indiqué faire circuler régulièrement des bulletins d’information visant à sensibiliser les utilisateurs. Mieux : 58 % des sondés proposeraient des programmes de formation ciblés. Las, seulement 46 %  indiquent pouvoir infliger des sanctions aux utilisateurs ne respectant pas les règles de sécurité en place.

Sécuriser le périmètre humain semble encore difficile. Et tant pis s’il n’a rien de négligeable. Car si les vulnérabilités et failles dans les logiciels des entreprises on reculé en deux ans - rencontrées par 47 % des sondés en 2011, elle ne le sont plus que par 39 % en 2013 - , les fuites et les partages de données accidentels par les utilisateurs restent stables - reconnus par 32 % des sondés. Il faut ajouter à cela les pertes et vols de terminaux mobiles, reconnus par 30 % , les vols/fuites de données intentionnels (19 %), les partages inapropriés (18 %), ou encore les défaillances de partenaires et de fournisseurs (15 %). En tout, 24 % des entreprises interrogées ont souffert de pertes de données métiers dues à des facteurs internes, avec, dans 6,5 % des cas, la perte de données sensibles.

Le BOYD encore peu abordé

L’étude commandée par Kasperky montre en outre que le BYOD a des conséquences bien réelles en matière de sécurité : 95 % des sondés auraient ainsi fait l’expérience d’un incident de sécurité lié à des terminaux mobiles au cours des 12 derniers mois. Et dans 38 % des cas, cela s’est soldé par la fuite de données internes importantes. L’éditeur russe le souligne : «les menaces mobiles poussent les entreprises à déployer des règles de sécurité supplémentaires pour les terminaux mobiles. Toutefois, cela ne se concrétise pas dans toutes les entreprises.» Selon les résultats de l’étude, seules 14 % des entreprises disposeraient de règles de sécurité totalement déployées pour les terminaux mobiles. Le déploiement serait en cours dans 41 % des entreprises. Reste 45 % qui en sont complètement dépourvues.

Mais le monde de l’entreprise semble totalement divisé quant à l’approche à adopter en matière de BYOD. 35 % des entreprises de l'étude veulent interdire ou essayer de limiter le plus possible le phénomène. 31 % des sondés l’acceptent, et 34 % le considèrent comme une fatalité impossible à éviter.

Las, faute de prévoir et d’anticiper, la gestion des incidents de sécurité a un coût. Kaspersky estime ainsi à 13 000 $ le coût de recours à des services tiers additionnels pour une PME, et à près de 110 000 $ pour une grande entreprise. Mais ce n’est qu’une moyenne. L’éditeur relève que des PME ont eu à débourser jusqu’à 350 000 $ pour faire face à un incident de sécurité, contre 7,5 M$ pour de grandes entreprises. Et c’est sans compter les pertes liées à l’activité car, dans 60 % des cas, les fuites de données auraient «significativement» perturbé l’activité et, pour près de 30 %, provoqué la perte de contrats ou d’opportunités commerciales. Le tout pour un montant estimé à 22 000 $ en moyenne pour une PME, et 150 000 $ pour une grande entreprise. En parallèle, Kaspersky estime que, en moyenne, renforcer le recrutement dans le domaine de la sécurité coûterait 9 000 $ pour une PME, et 57 000 $ pour une grande entreprise.

Financièrement, la pire menace semble être celle des attaques ciblées, avec un coût total moyen estimé à 2,4 M$ pour une grande entreprise, et 92 000 $ pour une PME. Viendrait juste après l’intrusion réseau, à 1,67 M$ et 73 000 $ respectivement.
 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)