Etude : les entreprises surjouent la confiance dans leur sécurité

Une nouvelle étude de Fortinet montre que les entreprises affichent une confiance élevée dans la sécurité de leurs systèmes d’information. Peut-être plus que la réalité.

Une nouvelle étude montre qu’une majorité de RSSI conservent un niveau de confiance élevé dans leur capacité à prévenir les vols de données. Toutefois, elle suggère également que ces mêmes responsables manquent de moyens essentiels à la défense contre les menaces émergentes et sophistiquées.

Ainsi, selon une étude signée Fortinet, 66 % des entreprises sont plutôt confiantes (38 % des répondants) ou totalement confiantes (28 % des répondants) dans leurs efforts de sécurité. Et selon cette même étude, 29 % des responsables estiment que la protection et la détection des menaces avancées persistantes (APT) est une priorité critique pour leurs projets de sécurité cette année. Pour cela, pare-feu de nouvelle génération et MDM apparaissent en tête des priorités d’investissement avec 28 % des suffrages.

Cette étude s’appuie sur un sondage réalisé par CSO Strategic Marketing Service auprès de 250 dirigeants responsables de la sécurité IT de leurs organisations. Et elle montre qu’une part significative des sondés affichent une confiance dans leurs efforts de sécurité supérieure à celle qu’ils ressentent vraiement. Ainsi, « il semble y avoir une certaine incohérence entre tant de dirigeants (3 sur 4) citant la protection contre les APT et les pare-feu de nouvelle génération comme une priorité critique… et tant d’entre eux (les deux tiers) qui indiquent estimer avoir fait tout leur possible ou presque pour prévenir un incident ou une brèche ».

Qui plus est, l’étude montre que 36 % des responsables sécurité s’attachent en priorité à la protection des données clients, contre 22 % dont la priorité première est d’assurer la continuité de l’activité et la disponibilité des systèmes. Propriété intellectuelle et données des employés arrivent loin derrière, mentionnées comme priorités par 13 % et 11 % des sondés respectivement.

En d’autres mots, selon Fortinet, ces responsables affichent une confiance injustifiée car ils ne disposent pas de mesures de sécurité telles que des pare-feu de nouvelle génération et du MDM, et ne sont pas plus préoccupés par la sécurité des données de leurs collaborateurs et de leur propriété intellectuelle.

« Compte tenu de ces incohérence », explique le rapport, « certains répondants affichent des niveaux de confiance inattendus – et peut-être même irréalistes – dans leurs capacités à lutter contre les menaces et à prévenir des pertes potentielles ».

« Aamir Lakhani, stratégiste sécurité sénior de Fortinet, explique que les entreprises ont besoin d’un regard plus complet sur leurs mesures de sécurité de l’information au lieu de se concentrer seulement sur les terminaux ou sur le périmètre ».

Pour lui, « le problème est que les attaques ne sont pas conçues pour exploiter une unique portion de la sécurité. Et c’est d’ailleurs la démarche de Fortinet depuis le début : regardons l’écosystème, pas seulement la périphérie, pas seulement les pare-feu, pas seulement les terminaux ».

A l’extrémité opposée du spectre, l’étude a montré que 26 % des répondants affichent une confiance limitée dans leurs capacités, voire faible pour 5 % d’entre eux. Et même 3 % des sondés n’affichent aucun confiance, expliquant que des brèches « se sont déjà produites ; elles surviendront encore. Il n’y a rien que nous puissions faire contre cela, même si nous essayons ».

Heureusement, certaines entreprises appellent à l’aide et externalisent leur sécurité IT, au moins en partie. Et pour cela, plus du quart des sondés expliquent préférer recourir à des services managés déployés sur site, contre 25 % pour des services de sécurité Cloud.

Et les auteurs de l’étude d’estimer que « si les entreprises ont besoin de plus d’expertise que ce dont elles disposent en interne, elle ne veulent pas se laver les mains de la responsabilité de leur propre réseau. Et c’est une bonne chose ».

Avec nos confrères de SearchSecurity.com (groupe TechTarget)

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)