La cybersécurité, le casse-tête des entreprises en ce début 2019

L'équipe Dynamique Entrepreneuriale     21/01/19    
cybersecurite casse tete entreprises debut

Rien n’est vraiment acquis en matière de cybersécurité. Si les entreprises y consacrent une partie de leur temps et de leur budget, c’est qu’elles sont conscientes des enjeux et surtout des conséquences que ces attaques pourraient avoir sur leur business.

A travers le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), lieu d’échanges pour les experts de la sécurité et du numérique au sein de grandes entreprises, le CESIN, avec OpinionWay, a lancé une nouvelle enquête auprès de ses membres afin de connaître :

  • la perception de la cybersécurité et de ses enjeux au sein des entreprises membres du CESIN
  • la réalité concrète de la sécurité informatique des grandes entreprises. 

L’enquête, renouvelée depuis trois ans, met en exergue la perception et la réalité de la cybersécurité et présente de nouvelles données sur l’impact de la transformation numérique des entreprises.

Les cyber-attaques, un enjeu à prendre très au sérieux

Selon l’étude réalisée par OpinionWay auprès de 174 membres du CESIN, à partir du fichier membre du CESIN (498 contacts) du 23 novembre au 26 décembre 2018 le nombre de cyber-attaques offrirait une certaine stabilité. Cependant, le chiffre est encore fort élevé avec huit entreprises sur dix qui sont atteintes par ces fléaux.

De quels types d’attaques, s’agit-il ?

  • Le phishing est le mode attaque le plus fréquent (73% en ont été victimes), tandis que l’arnaque au président touche cette année une entreprise sur deux, soit plus que ce que l’on pourrait croire. Le phishing a pour objectif de récupérer des données personnelles sur internet. Le moyen utilisé est l’usurpation d’identité, adaptée au support numérique. L’escroquerie repose le plus fréquemment sur la contrefaçon d’un site internet (celui d’une banque ou d’un marchand en ligne) qui sont difficiles à discerner pour l’internaute (couleurs identiques ou logos similaires d’un site habituel, par exemple. Les mails comportent un avertissement et une demande d’action urgente comme « votre compte sera suspendu si vous ne payez pas la somme de » et cette somme est souvent dérisoire et incite l’internaute à répondre dans l’urgence par peur d’être privé d’un service dont il a besoin (téléphone, EDF, impôts…) et invitent l’internaute à se rendre sur une page de formulaire sur laquelle seront demandées et récupérées des données personnelles, souvent à caractère financier (coordonnées bancaires). Ces mails peuvent également être accompagnés d’une pièce jointe généralement présentée comme une facture. Le message est rédigé de sorte à inciter l’internaute à ouvrir cette pièce jointe qui aura pour conséquence l’insertion de virus.
  • le shadow IT est le cyber-risque le plus répandu, cité par 64% des répondants comme étant un cyber-risque à traiter.  De quoi s’agit-il ? Pour être performants, pour communiquer sans perdre de temps, les collaborateurs utilisent des applications, des services, des fonctions de stockage et de partage d’information sans passer par la DSI. Mais cette pratique regrettable, le shadow IT, met en danger la sécurité de l’entreprise, car elle contourne les mesures de gestion, d’intégration, de protection et de conformité nécessaires établies dans l’entreprise pour la protéger. 

Cloud et IoT : la panacée de la cybersécurité ?

Toutes les entreprises interrogées (98%) estiment que la transformation numérique a un impact sur la sécurité des systèmes d’information et des données. En cause le recours massif au Cloud, utilisé par 87% des entreprises dont 52% dans des Clouds publics. Ce mode de stockage a pour binôme des problèmes de non-maîtrise dont on doit tenir compte, que ce soit par rapport à l’accès aux données de l’entreprise par les hébergeurs (via les administrateurs ou autres) ou par rapport à la chaîne de sous-traitance pratiquée par le fournisseur.

En ce qui concerne l’IoT, l’effet le plus pervers se trouve dans les failles de sécurité présentes dans ces objets qui ont fait d’ailleurs l’objet d’interventions d’experts au CES de Las Vegas. Il s’agit pour les responsables sécurité des systèmes d'information (RSSI) de ne pas se contenter des solutions de sécurité proposées par les prestataires de service Cloud et de disposer d’outils de sécurisation supplémentaires par rapport à ceux proposés par le prestataire, d’après 89% d’entre eux et donc de savoir que les IoT utilisent le biais d’internet qui peut comporter des failles de sécurité.

Comment affronter les cyber-risques ?

Pour contrer ces cyber-risques, les RSSI utilisent des solutions techniques adaptées à leurs besoins (75%), même si des innovations seront nécessaires pour les adapter à la transformation numérique. L’intelligence artificielle (IA) semble rencontrer l’adhésion : 56% des répondants ont mis en place des solutions basées sur l’IA ou envisagent de le faire ; cependant, 55% estiment que l’IA ne se substituera pas à l’expertise humaine en matière de sécurité.

Il est à noter que les RSSI sont moins confiants qu’en 2017 quant à la capacité de leur entreprise à faire face aux cyber-risques (51% sont confiants, -12 points) ; et moins d’un sur deux considère en particulier que son entreprise est préparée à gérer une cyber-attaque de grande ampleur. Dans ce cadre, on peut constater que les souscriptions de cyber-assurance sont en hausse (+10 points), mais seule une entreprise sur dix a mis en place un véritable programme de cyber-résilience.

Quels sont les rejeux ?

D’après les RSSI, l’enjeu principal pour l’avenir de la cybersécurité est celui de la formation et de la sensibilisation des utilisateurs (61%). Les usages des salariés apportent en effet leur lot de risques, notamment via le shadow IT. Même si les salariés sont informés, ils restent peu concernés car on peut constater qu’ils ne suivent pas forcément les consignes données. Un important travail de sensibilisation reste à faire.

La gouvernance de la cybersécurité doit également être placée au bon niveau pour 60% des RSSI. Malgré un impact positif de la mise en conformité RGPD sur la gouvernance (59% des entreprises), la confiance en la capacité des COMEX à prendre en compte les enjeux de la cybersécurité est très inégale en fonction des secteurs d’activité.

Les ressources humaines doivent recruter des profils qui puissent répondre à la protection des entreprises.

Donnez une note à cet article