rolffimages - Fotolia
Cybersécurité : des entreprises françaises toujours très mal préparées (Institut Ponemon)
Les DSI et RSSI misent notamment sur la formation et la sensibilisation. Mais ils apparaissent toujours peiner à faire prendre la mesure des enjeux à leurs directions.
La France ne fait clairement pas figure de bon élève. C’est du moins la conclusion que l’on est tenté de tirer d’une étude de l’Institut Ponemon réalisée pour IBM auprès de 272 professionnels de l’IT et de la sécurité des systèmes d’information en France. Le volet Hexagonal d’une étude plus vaste dont les résultats ont été présentés à l’automne dernier.
Et là, en France, seulement 21 % des participants revendiquent un niveau élevé de « cyber résilience », contre 32 % pour l’étude globale. En fait, 73 % des professionnels français interrogés estiment que leur organisation n’est pas préparée pour pouvoir se relever d’attaques informatiques.
L’institut fait ressortir quatre composantes de la résilience : prévention, détection, réponse et récupération. Pour la première, les Français affichent un niveau de confiance supérieur à la moyenne à 43 %, contre 40 %. Mais ils ne sont plus que 45 % à s’estimer prêts à détecter rapidement une attaque (contre 49 %). Plus de la moitié des sondés se disent en capacité de contenir une attaque (52 %), un niveau comparable à la moyenne globale. Mais seulement 27 % des professionnels français jugent élevée leur capacité à revenir à une situation normale après attaque, soit 7 points de moins que la moyenne.
Seul un Français sur cinq estime que la cyber-résilience de son organisation a progressé au cours des 12 derniers mois. Et c’est la formation des utilisateurs qui semble avoir joué le premier rôle (44 %), devant le recours à prestataire de services de sécurité managés (38 %), ou encore la carotte salariale pour recruter ou retenir des experts en sécurité (33 %).
Les experts s’accordent pour souligner l’importance de la préparation pour répondre aux incidents. Pour autant, 68 % des sondés considèrent que le manque de préparation et de planification en amont constitue le principal obstacle à une meilleure résilience. D’ailleurs, seulement 63 % des sondés indiquent disposer d’un plan de réponse aux incidents (79 % pour l’étude globale). Et ils ne sont que 23 % à affirmer que ce plan est appliqué de manière cohérente dans toute l’organisation.
Dans ce contexte, il n’apparaît guère surprenant que 48 % des Français constatent une augmentation des délais de résolution d’incidents de sécurité (contre 41 %) en un an. Un peu moins d’un tiers assurent toutefois que ces délais ont reculé.
L’infection par un logiciel malveillant et le hameçonnage sont les deux principaux types d’incidents rencontrés en France (70 % et 62 % des sondés respectivement), loin devant la perte ou le vol de données (42 %), le déni de service (33 %), ou encore l’intrusion dans les systèmes (24 %). Des chiffres que l’on prendra avec prudence compte tenu de la confiance des professionnels sondés dans leur capacité à détecter des incidents de sécurité.
Mais même s’il peine à donner sa pleine valeur, le renseignement sur les menaces apparaît clé pour améliorer la posture de sécurité informatique de l’entreprise. Yann Fareau, de Cisco, et Laurance Dine, de Verizon Enterprise Solutions, le soulignaient d’ailleurs récemment dans nos colonnes. Et le message semble passer. De fait, 46 % des sondés indiquent participer à un programme d’échange de renseignements sur les menaces et 69 % d’entre assurent que cela a amélioré leur posture de sécurité. Pour 65 %, cette participation a en outre contribué à accélérer la réponse aux incidents. C’est bien moins qu’au niveau global de l’étude, mais cela n’en est pas moins positif. Mais pas trop, tout de même, car 55 % des professionnels français sondés ne perçoivent pas de bénéfice au partage de renseignements pour leur organisation.
Et pour ne pas aider, les directions ne semblent pas percevoir les enjeux de la résilience cyber : seulement 39 % des sondés estiment que leur direction reconnaît un risque de dommages à la réputation de la marque, 43 % au chiffre d’affaires. Pour l’institut Ponemon, c’est clair : ces chiffres « révèlent les difficultés auxquelles font face les professionnels de l’IT et de la sécurité des systèmes d’information pour obtenir des investissements dans les personnes, les processus et les technologies permettant d’être cyber résilient ». Pour autant, les efforts en ce sens comptent pour 26 % des budgets sécurité – eux-mêmes s’établissant en moyenne à 9 M$ par an pour les sondés.