freshidea - Fotolia
La cybersécurité, vraiment une priorité pour les dirigeants ?
Trois études tendent à montrer que les directions ne prennent pas encore réellement au sérieux une menace informatique qu’ils peinent, en fait, à bien appréhender. De quoi empêcher les entreprises de véritablement améliorer leur posture de sécurité.
Fin septembre, Lloyd’s présentait les résultats d’une étude intitulée « Faire face au défi de la cybersécurité » jugeant que le sujet est « désormais considéré comme une responsabilité relevant des directions », 54 % des chefs d’entreprises européens étant prêts à assumer celle-ci.
Peut-on pour autant considérer que le sujet et ses enjeux sont réellement pris au sérieux ? Pas sûr. De fait, toujours selon cette étude, seuls 13 % des représentants d’entreprises européennes sondés estiment qu’une cyberattaque pourrait entraîner des pertes commerciales. Et si 92 % des entreprises semblent avoir en subi au moins une – « sous une forme ou une autre » – au cours des cinq dernières années, seules 42 % s’inquiète d’une possible nouvelle occurrence. En fait, pour Inga Beale, directrice générale de Lloyd’s, ces résultats « devraient servir de sonnette d’alarme », car « les entreprises sont trop nombreuses à ne pas estimer que les dangers liés à une cyberintrusion puissent affecter leur activité ».
En fait, une autre étude, commandée par Palo Alto Networks auprès de Morar Consulting, laisse à imaginer une profonde incompréhension des questions de cybersécurité chez les dirigeants des entreprises. Ainsi, 32 % des professionnels de la sécurité constateraient « le désarroi de leurs supérieurs hiérarchiques, totalement perplexes sur les causes réelles », en cas d’incident de sécurité. Et loin d’assumer la moindre forme de responsabilité, la direction rejetterait la faute sur les équipes de sécurité informatique dans près de 20 % des cas, jusqu’à adresser des reproches personnels dans 10 % des cas.
Dès lors, ce n’est qu’une demi-surprise si 51 % des RSSI estiment peiner à attirer l’attention de leur direction sur d’éventuelles vulnérabilités du système d’information. Et s’ils ne se sentent pas soutenus par leurs directions, il n’est pas non plus surprenant que 49 % des professionnels de la sécurité informatique aient du mal à admettre auprès d’elles défaillances et incidents de sécurité. D’autant plus, peut-être, que la troisième raison la plus souvent avancée pour passer sous silence un incident est… qu’il trouve son origine au sein de l’équipe de direction.
En fait, comme l’indique une étude de l’institut Ponemon pour Varonis, la protection des données d’entreprise ne serait l’une des premières priorités que pour 50 % des patrons français. Reflet de cette situation, 47 % des sondés – spécialistes de l’IT et de la sécurité IT – considèrent que leur DSI ne dispose pas du soutien et/ou des ressources nécessaires pour sécuriser les données de l’entreprise. Ils ne sont que 19 % dans cette situation en Allemagne, 31 % au Royaume-Uni, et 40 % aux Etats-Unis.
Mais 51 % des sondés pour cette étude estiment que leur entreprise applique strictement ses politiques de sécurité en matière d’accès et d’utilisation des données. Un chiffre que l’on est tenté de prendre avec des pincettes. Car un modèle limitant les droits d’accès aux données au strict nécessaire compte du rôle de l’utilisateur n’est pleinement appliqué que pour 25 % des sondés en France. En fait, il ne l’est pas du tout pour 38 %. Et 36 % des sondés indiquent que les droits d’accès aux ressources partagées ne sont jamais revus. Pour 39 %, cette revue ne survient qu’une fois par an. En fait, selon 45 % des sondés en France, les activités sur les fichiers et les courriels ne sont pas du tout supervisées.
Dommage, car 52 % des sondés assurent que les employés ne prennent pas les mesures nécessaires pour protéger les données auxquelles ils accèdent. D’ailleurs, là où les activités sur les fichiers et les courriels sont surveillées, 55 % des sondés ont détecté des accès non autorisés. Bon, parfois tard… jusqu’à 1 an après dans 23 % des cas. En somme, mettre en place un système de surveillance, ça peut être utile, mais encore faut-il y jeter un œil de temps à autre.
Pour autant, en France, selon cette étude, 80 % des entreprises auraient souffert d’une perte ou d’un vol de données au cours des deux dernières années. Et pour 54 % des sondés, la raison en est au moins souvent interne, qu’il s’agisse de négligence, d’erreur ou de malveillance. La négligence est d’ailleurs citée par 49 % des sondés comme principale cause de compromission de comptes utilisateur.