Demande de rançon, attaque virale générale, attaque par déni de service… Comment les entreprises vivent-elles la cybercriminalité et quelles parades mettent-elles en place ?
Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) a lancé auprès de ses membres une grande enquête qui a vocation à être renouvelée chaque année.
Parmi les principaux enseignements, on notera que le digital et la SSI sont des enjeux importants et stratégiques dans la plupart des entreprises. À la croisée de ces enjeux, la gestion des cyber-risques est souvent confiée à la DSI ou à la direction risques lorsqu’elle existe. Toutes les entreprises sont jugées exposées aux cyber-risques et font effectivement l’objet d’attaques, l’attaque la plus fréquente étant la demande de rançon.
Les nouveaux usages du numérique au travail posent de nouveaux défis en matière de cyber-sécurité. Le Cloud en particulier, en plus de nécessiter des outils spécifiques, inquiète pour des raisons de confidentialité des données. Le BYOD et les objets connectés sont aussi des nouveaux enjeux de la cyber-sécurité.
Des moyens alloués à la cyber-sécurité peu satisfaisants
Les entreprises ont généralement mis en place de nombreuses solutions techniques pour assurer leur cyber-sécurité, en structurant leurs dispositif le plus souvent selon une typologie de sensibilité des données. Elles optent aussi quasiment toutes pour une limitation des usages des salariés – incluant parfois du filtrage web – qui ne se révèle efficace qu’à la marge. D’autant que les salariés sont jugés trop peu sensibilisés aux cyber-risques, et peu enclins à respecter scrupuleusement les recommandations.
Pour autant, les moyens alloués à la cyber-sécurité semblent peu satisfaisants actuellement, en particulier les moyens humains. Nombre d’entreprises envisagent d’ailleurs d’augmenter les ressources techniques, financières ou humaines dédiées à la cyber-sécurité, et elles sont également nombreuses à envisager de souscrire une cyber-assurance.
Des enjeux humains
Les entreprises estiment que les outils disponibles actuellement sur le marché sont déjà peu adaptés à la situation en matière d’usages du numérique comme en matière d’attaques. Même en prenant la cyber-sécurité au sérieux, l’inquiétude demeure quant à la capacité concrète à faire face à l’augmentation pressentie des attaques sur le court et moyen terme.
Les enjeux prioritaires à leurs yeux seront plus humains que techniques : donner toute son importance à la cyber-sécurité dans l’entreprise (en y allouant suffisamment de ressources et en lui donnant sa juste place dans la gouvernance), et à travailler autour des usages (sensibiliser les usagers et s’adapter à leurs pratiques)
Sondage OpinionWay pour le CESIN, réalisée auprès de 125 membres du Club.
