olly - Fotolia
Brèches : des entreprises partagées entre ignorance et dissimulation
Malgré l’importante médiatisation dont ils font l’objet, certains grands incidents de sécurité restent inconnus d’un grand nombre de dirigeants. De quoi affecter la conscience de la menace. Mais aussi, lorsqu’elles sont elles-mêmes touchées, beaucoup d’entreprises semblent faire le dos rond.
Les responsables métiers et les dirigeants ont-ils bien conscience des menaces informatiques ? Rien n’est moins sûr. C’est du moins ce que laissent à penser les résultats d’une étude YouGov pour CA Veracode, réalisée à partir du sondage d’un millier de personnes en Allemagne, aux Etats-Unis, et au Royaume-Uni, entre la fin septembre et le début du mois d’octobre.
De fait, relativement peu de personnes sondées semblent être au courant des grands incidents de cybersécurité qui ont pu secouer des entreprises au cours de ces dernières années : 15 % d’entre elles ont entendu parler de NotPetya, contre 17 % de Heartbleed, 28 % de la brèche ayant affecté Equifax, 32 % de l’incident dont a été victime Target, 46 % pour celui de Yahoo, ou encore 24 % pour l’épisode WannaCry.
Dans un tel contexte d’ignorance mêlée d’inconscience, il n’est guère surprenant qu’un tiers des responsables sondés outre-Manche et outre-Rhin indiquent que leur entreprise ne prévoit pas d’initiative pour améliorer sa sécurité informatique d’ici à 12 mois… Mais il y a pire.
CyberArk a sollicité Vanson Bourne pour sonder plus de 1 300 professionnels de la sécurité informatique, développeurs et dirigeants, dans sept pays. Et la moitié d’entre eux a admis qu’ils ne jouent pas pleinement la transparence au sujet de données personnelles exposées lors d’attaques informatiques.
Mais ce n’est finalement qu’une demi-surprise qui montre que l’exemple d’Uber n’est malheureusement pas isolé. Fin novembre, ce dernier a reconnu un important incident de sécurité en 2016 dans le cadre duquel des attaquants ont eu accès à des informations personnelles concernant 57 millions de clients dans le monde entier, ainsi que 600 000 conducteurs aux Etats-Unis. Mais selon Bloomberg, Uber a tenté de cacher l’incident en payant les attaquants. Plusieurs actions en justice ont été lancées à son encontre.
Pour CyberArk, « les données de ce sondage soulignent que, malgré des brèches hautement médiatisées, les organisations ne changent pas fondamentalement leur comportement face à la sécurité ».