La lutte contre les cybermenaces : stratégique mais insuffisante
Les entreprises ne sont pas prêtes à relever les enjeux de la cybersécurité même si elles sont sûres que c'est stratégique. Tel est le résultat de deux études qui viennent d'être publiées. La première est réalisée par OpinionWay, la seconde par la Fondation pour la Recherche Stratégique.
PublicitéPour les responsables de la cyber-sécurité, la vie devrait être rose : leur fonction est considérée comme stratégique par 76% des organisations, et même "très stratégique" pour 12% d'entre elles. Cette fonction devrait gagner encore gagner en importance dans les années à venir (81% des cas) même si le poste n'est quasiment pas représenté au Comité de Direction ou au Comité Exécutif (seulement 17% des cas).
Malgré cela, 87% des entreprises françaises ne sont pas prêtes à affronter les cybermenaces actuelles (dont 14% pas du tout).
Cette contradiction est soulignée par la dernière étude « Les directeurs de sécurité des entreprises et les cybermenaces » de CDSE/OpinionWay. Elle a été publiée à l'occasion du colloque annuel du CDSE, le Club des Directeurs de Sécurité des Entreprises. L'évènement se déroulait le 6 décembre 2012 dans les locaux de l'OCDE à Paris en partenariat avec Europol, l'organisation policière européenne.
Une seconde étude, réalisée par la Fondation pour la Recherche Stratégique n'est pas plus positive. La sécurité en général est considérée comme importante dans 89% des entreprises mais les cybermenaces sont moins prises en compte : seulement 79% des organisations les jugent importantes. Et seulement la moitié des entreprises considère les cybermenaces comme une priorité.
D'autres risques passent ainsi souvent devant : sécurité des salariés, sécurité économique et financière, atteintes à l'image, risques sur la propriété intellectuelle...
Les principales menaces identifiées restent du domaine de l'attaque extérieure technique même si les risques humains sont eux aussi pris en considération (voir schéma ci-dessous).
Globalement, les investissements sont jugés suffisants dans une moitié des cas (56% des répondants) et les collaborateurs sont bien sensibilisés dans à peu près les mêmes proportions (59% pour être exact).
Mais la réglementation française est jugée comme inadaptée pour permettre une lutte efficace contre les cybermenaces par 63% des répondants. Il en résulte que les Etats-Unis sont vus comme mieux préparés que la France tandis que notre pays est considéré comme plus efficace que l'Allemagne.
Malgré tout, 71% des répondants (...)
Malgré tout, 71% des répondants sont confiants dans la capacité de leurs organisations respectives à répondre aux cybermenaces.
Enfin, la maîtrise des risques numériques est considérée comme porteuse de compétitivité pour les entreprises par 92% des répondants à l'enquête OpinionWay.
PublicitéDes menaces de plus en plus sophistiquées
L'étude « Enquête sur la sécurité numérique des entreprises » réalisée par la Fondation pour la Recherche Stratégique n'apporte pas une vision plus positive de la situation, bien au contraire. Les cyberattaques gagnent en effet régulièrement en sophistication. Les attaques automatisées contre les sites web continuent, bien entendu : jusqu'à 100 attaques/seconde. Mais les menaces les plus graves proviennent des attaques persistantes évoluées (Advanced Persistent Threats ou APT) basées sur de l'ingénierie sociale.
La complexité croissante des systèmes d'information entraîne une fragilité croissante face aux cybermenaces. A cela s'ajoutent des risques nouveaux liés à des pratiques nouvelles comme le BYOD et le Cloud.
Surtout, le champ opérationnel du système d'information s'accroît et c'est donc aujourd'hui toute l'entreprise qui est directement cyber-menacée. En effet, même les chaînes de production industrielles sont reliées au réseau global de l'entreprise. Une attaque de type Stuxnet est donc envisageable dans de nombreuses entreprises.
L'auteur de l'étude insiste donc sur la nécessité de gérer globalement les risques, en transversalité des différentes divisions de l'entreprise, de préférence collégialement. De plus, la collaboration entre entreprises d'une part mais aussi entre les entreprises et l'Etat d'autre part est une nécessité.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire