La nécessaire révolution dans l'approche de la cybersécurité
Le CESIN (Club des Experts de la Sécurité et du Numérique) a demandé à Opinionway d'interroger ses adhérents RSSI sur la réalité de la cybersécurité dans les entreprises et les tendances en matière de cybermenaces.
PublicitéMême si les cybermenaces font peur, voire très peur, les moyens actuellement alloués à la cybersécurité par les entreprises semblent très insuffisants, même s'ils sont en croissance. Mais la question n'est pas d'acheter plus d'outils. Il s'agit bien de travailler en profondeur sur les usages et d'investir en moyens humains. Cette nécessaire révolution dans l'approche de la cybersécurité est réclamée par les RSSI ayant répondu au Sondage Opinionway pour le CESIN (Club des Experts de la Sécurité et du Numérique).
Cette enquête a permis de faire le point sur la perception des enjeux, les mesures prises mais aussi les tendances en matière de cybermenaces. Les attaques sont nombreuses contre toutes les entreprises. Mais la pire menace vient sans doute de l'évolution des usages des outils informatiques sans évolution de l'approche de la sécurité. Face à, sans doute, un certain fatalisme, de plus en plus d'entreprises s'intéressent aux assurances pour couvrir les cyber-risques. Actuellement, une entreprise sur cinq en a souscrit une et deux sur cinq l'envisagent.
La cybersécurité stratégique mais...
La cybersécurité est pourtant jugée comme importante voire très importante par neuf entreprises sur dix. Ce qui est logique puisque les entreprises sont presque unanimes à déclarer le numérique comme enjeu stratégique. Mais cela n'empêche pas de rattacher le RSSI au DSI dans plus de deux-tiers des cas, le rattachement à une direction dédiée (risques, sécurité) ne concernant qu'un quart des entreprises. Autrement dit : la sécurité n'est pas vue comme globale et le DSI supervise celui qui est censé le contrôler sur les questions de sécurité.
Huit RSSI sur dix ont détecté au moins une cyber-attaque dans l'année écoulée. La moyenne est plutôt aux alentours de 13 et le chiffre augmente avec le nombre de terminaux connectés. Les entreprises de plus de 50 000 ordinateurs connaissent ainsi 32 attaques par an contre 2 pour les moins de 1000. En général, il y a trois sortes d'attaques par entreprise. Les plus fréquentes sont les ransomwares (61% des entreprises concernées), les attaques virales générales (44%), les attaques par déni de service (38%) et les attaques ciblées (35%). Les RSSI jugent leurs entreprises plutôt nettement exposées à peu près à tous les types de risques avec un poids particulier aux vols et fuites de données. La corrélation entre le sentiment d'exposition et les attaques constatées n'est donc pas totale.
L'humain au coeur des risques
Mais, pour les entreprises, les risques viennent avant tout de l'humain et des vulnérabilités résiduelles permanente. La première inquiétude est donc la dépendance à l'humain mais aussi la malveillance, la fraude... La mauvaise gestion du cycle de vie des données, avec des non-suppression par exemple, est aussi un risque important. Concrètement, malgré tout, les vulnérabilité résiduelles permanentes ont été la première cause de vulnérabilité rencontrée lors des cyberattaques (pour la moitié des entreprises). La corrélation entre la perception d'exposition aux risques et la réalité des risques est assez forte.
Les nouveaux usages du numériques sont une importante source de menaces. BYOD/COPE et objets connectés sont particulièrement pointés du doigt. Surtout, méthodes et outils de sécurité actuels semblent peu adaptés à ces nouveaux usages. Et les ordinateurs personnels des collaborateurs sont vus comme moins bien protégés que les systèmes d'entreprises par presque tous les répondants.
PublicitéLes nuages s'amoncellent sur la sécurité
85% des entreprises utilisent officiellement le cloud et plus de neuf RSSI sur dix pensent que cela implique d'utiliser des outils spécifiques pour garantir la cybersécurité. Quatre entreprises sur dix pensent que le cloud est autant sécurisé que le local, un peu plus ont davantage confiance dans le local que dans le cloud. Il ne reste donc qu'un peu moins d'une entreprise sur cinq pour croire le cloud plus sécurisé que le local.
Le premier facteur de risque pour le cloud est l'hébergeur. Il peut ainsi stocker des données à l'étranger, consulter les données voire appliquer des traitements Big Data clandestins dessus. En plus, la sécurité et le cycle de vie des données ne sont plus maîtrisés.
Des moyens classiques généralisés mais insuffisants
Si toutes les entreprises ou presque ont mis en oeuvre des outils classiques de sécurité (Anti-virus, pare-feu, VPN, etc.) et la plupart des outils un peu plus sophistiqués (accès Internet centralisé, MDM, SSO...)le chiffrement reste le parent pauvre, notamment dans la messagerie (32%) et les bases de données (29%).
Les trois quarts des entreprises ont mis en place des process et niveaux de sécurité différenciés selon la sensibilité des données. Mais, trop souvent, le RSSI est « Monsieur NON » : les limitations d'usages restent la règle dans neuf entreprises sur dix. Quitte à ce que certains râlent (un cinquième des effectifs en moyenne). En particulier, le filtrage web est vu comme ayant une relative efficacité pour prémunir de certaines attaques.
La majorité des RSSI continue de se plaindre de moyens insuffisants. Pourtant, les ressources tant humaines que techniques ou budgétaires sont généralement augmentées ou, au minimum, maintenues. Il est vrai que, selon les RSSI, les cyber-attaques vont encore continuer d'augmenter.
Le 16 février 2016, CIO organise une Matinée Stratégique sur le thème Cybersécurité : Les nouvelles menaces contre le système d'information.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire