animind - Fotolia
Cybersécurité : l’impréparation continue de dominer
Les attaques informatiques ont un coût. S’en protéger aussi, et il n’est pas négligeable. Mais les priorités choisies apparaissent discutables.
Ce mercredi 15 novembre, Ciaran Martin, patron du NCSC, équivalent britannique de l’Anssi, s’exprimait lors du Times Tech Summit. L’occasion pour lui de souligner certains manques dans les approches de la cybersécurité des entreprises. Et cela commence par les campagnes de sensibilisation au phishing. Il peut être tentant de satisfaire d’une baisse, d’une campagne à l’autre, des taux de clic sur les liens malveillants de 55 % à 25 %. « Mais cela dépend de qui sont ces 25 %. Si cela inclut vos administrateurs systèmes, cela ne compte pas ». Mais pour avoir cette réflexion, encore faut-il avoir déjà un programme de sensibilisation des collaborateurs. Et c’est loin d’être toujours le cas.
Les résultats de l’étude Global State of Information Security Survey, de PwC ne dépeignent ainsi pas un paysage très flatteur : 48 % des sondés indiquent que leur entreprise ne dispose pas de programme de formation et de sensibilisation des collaborateurs. Alors ce n’est pas forcément une surprise s’ils sont 54 % à expliquer qu’il n’y a pas plus de processus de réponse à incident. En fait, l’impréparation semble continuer de dominer.
En France, la situation apparaît encore plus préoccupante, avec 53 % des entreprises restant sans programme de formation et de sensibilisation, selon PwC. Pour autant, elles seraient 75 % à disposer d’une stratégie de surveillance et de gestion des attaques informatiques. Un chiffre que beaucoup ne manqueront probablement pas de trouver étonnamment élevé.
Toujours selon le cabinet, les entreprises françaises évoluent à 2,25 M€ en moyenne les pertes financières liées aux attaques informatiques, un chiffre en hausse par rapport à l’an passé, pour un nombre d’incidents « similaire » : 4550 tentatives d’intrusion.
Citées chacune par 36 % des sondées, les principales conséquences craintes de ces opérations sont l’interruption de l’activité, la compromission de données sensibles, et les atteintes à la propriété intellectuelle. Viennent ensuite les menaces pour la qualité des produits (32 %) et les risques d’atteinte à la vie humaine (25 %).
Pour établir ses chiffres, PwC a interrogé 9500 dirigeants et responsables informatiques dans un total de 122 pays. En moyenne, ceux-ci indiquent investir 4,4 M€ dans leurs défenses. L’Europe compte pour 29 % des répondants.