Toute entreprise sera tôt ou tard victime de cybercriminalité. Mais la grande majorité des organisations est très mal équipée pour faire face à cette menace. L’étude EY " Get Ahead of Cybercrime " se demande pourquoi tant d’entreprises continuent à faire du surplace dans ce domaine et paraissent incapables de sortir des starting-blocks.
La plupart des organisations (76%) se sentent de plus en plus exposées à la cybercriminalité. Pourtant, plus de deux tiers (67%) des entreprises interrogées ne disposent pas d’informations en temps réel sur les risques informatiques. Celles-ci sont pourtant indispensables pour contrer les menaces réelles qui pèsent sur la sécurité des systèmes IT. C’est l’une des principales conclusions de " Get Ahead of Cybercrime ", l’étude mondiale annuelle d’EY sur la protection informatique pour laquelle 1.825 organisations de 60 pays ont été interrogées cette année. Les résultats des participants belges révèlent que les entreprises manquent d’attention, de budget et de compétences pour mieux défendre des points faibles qu’elles connaissent pourtant. 49% des répondants modifieront à peine le budget total de leur protection informatique au cours des prochains mois, malgré la recrudescence des menaces. Ce n’est qu’une légère amélioration par rapport à 2013, lorsque 52% des répondants déclaraient geler leur budget.
Decouvrez ici l’étude complète
Un des obstacles majeurs à une stratégie adéquate de protection informatique est le manque de collaborateurs spécialisés, selon près de la moitié (44%) des entreprises interrogées. Pas étonnant lorsque l’on sait qu’à peine 4% d’entre elles disposent d’une équipe d’analystes dédiés et spécialisés qui peuvent se concentrer sur les menaces informatiques. Ces chiffres aussi diffèrent peu de ceux de 2013, lorsque 50% des entreprises interrogées reconnaissaient un manque de collaborateurs spécialisés et 4% d’entre elles disaient disposer d’une équipe d’analystes pour les cyber-menaces.
La négligence ou le manque de connaissance des salariés constitue la principale vulnérabilité. 85% des répondants belges y voient le facteur le plus influent sur le profil de risque de l’entreprise. L’accès non autorisé aux informations de l’entreprise et des contrôles ou une architecture de sécurité informatique obsolète arrivent respectivement en deuxième et troisième position avec 50% et 45% de réponses. Les principales menaces sont le phishing, les logiciels malveillants et la fraude. Elles comptent parmi les priorités de respectivement 52, 50 et 24% des entreprises interrogées.
Approche proactive
L’étude de cette année démontre que les organisations doivent mieux se préparer aux attaques dans un environnement où les cyber-intrusions sont inévitables. De plus, les menaces proviennent de sources de plus en plus inventives, qui disposent de ressources financières croissantes. Les cyber-attaques peuvent avoir de lourdes conséquences. Et celles-ci ne sont pas seulement financières. E
lles peuvent aussi porter préjudice à la marque ou à la réputation d’une entreprise, causer la perte d’un avantage concurrentiel ou engendrer une non-conformité réglementaire. Les organisations doivent abandonner leur attitude réactive au profit d’une approche proactive et veiller à ne plus être une cible facile pour les cybercriminels, mais un adversaire redouté.
L’étude révèle également que trop d’organisations ne maîtrisent toujours pas les principes fondamentaux de la sécurité informatique. De plus, le Management Exécutif de ces organisations est trop peu attentif au problème et on constate une absence de procédures et pratiques clairement décrites. De nombreuses organisations ne disposent pas d’une équipe de sécurité opérationnelle, ce qui constitue un motif d’inquiétude grave. Outre les menaces internes, les organisations doivent également réfléchir en profondeur à leur écosystème et à l’impact de leurs relations avec leurs clients et fournisseurs sur leur politique en matière de sécurité.
Il est également primordial de collaborer avec des parties externes pour améliorer la cyber-sécurité. Il faut non seulement créer un écosystème d’affaires, mais aussi un écosystème de sécurité dans lequel les autres membres du secteur et les pouvoirs publics peuvent jouer un rôle. Car seule une préparation optimale aux menaces informatiques permettra à une organisation de profiter de ses investissements dans la cyber-sécurité. Les entreprises ne pourront garder une longueur d’avance sur les cybercriminels que si tous les composants sont présents et si les processus et systèmes de protection sont capables de s’adapter aux changements.
Les organisations doivent considérer la sécurité informatique comme une compétence clé concurrentielle. Or ce n’est possible que si elles sont bien préparées, anticipent suffisamment les nouvelles menaces et se départissent de leur rôle de victime. Comment faire de la cyber-sécurité une compétence- clé ?
- Soyez à l’affût. Le management doit prendre les menaces et risques informatiques au sérieux, et fixer les priorités nécessaires. Veillez à créer un processus décisionnel dynamique qui permet des actions préventives rapides. La vigilance est un maîtremot en cas de menaces possibles.
- Connaissez les menaces. Les organisations doivent posséder une connaissance étendue, mais ciblée de toutes les menaces et de leur impact potentiel. Ce n’est possible qu’en investissant suffisamment de temps et de moyens dans l’analyse des menaces informatiques.
- Protégez les joyaux de la couronne. L’organisation doit savoir quelles sont ses ressources les plus précieuses. Soyez particulièrement attentif à la durabilité de vos ressources premières et veillez à les protéger au mieux.
- Concentrez-vous sur l’approche des incidents et situations de crise. Évaluez régulièrement les compétences de votre organisation. Testez l’étanchéité de votre système de protection en simulant des incidents et des situations de crise.
- Continuez à apprendre et à évoluer. L’analyse a posteriori de la protection informatique est un élément crucial d’une approche adéquate. Les organisations doivent collecter et analyser toutes les données relatives aux incidents et aux attaques. Elles doivent éviter de continuer à travailler chacune dans leur coin et collaborer pour tirer des enseignements des incidents. Car les conclusions de cette analyse et de cette collaboration peuvent grandement améliorer la protection d'une entreprise.