La cybersécurité toujours négligée malgré les enjeux avérés

• Imprimer

Le CDSE a publié deux études, l'une réalisée par OpinionWay, l'autre par la Fondation pour la Recherche Stratégique. Dans les deux cas, les entreprises ne sont pas prêtes à relever les enjeux de la cybersécurité. Mais elles sont sures que c'est stratégique.

Pour les responsables de la cybersécurité, la vie devrait être rose : 76% des organisations considèrent leur fonction comme stratégique (dont 12% « très stratégique ») et elle devrait encore gagner en importance dans les années à venir (81% des cas), même si l'appartenance au Comité de Direction ou au Comité Exécutif est encore marginale (17% des cas). Mais 87% des entreprises françaises ne sont pas prêtes à affronter les cybermenaces actuelles (dont 14% pas du tout).
Cette contradiction est soulignée par la dernière étude « Les directeurs de sécurité des entreprises et les cybermenaces » CDSE/OpinionWay. Elle a été publiée à l'occasion lors du colloque annuel du CDSE (Club des Directeurs de Sécurité des Entreprises) qui se déroulait le 6 décembre 2012 dans les locaux de l'OCDE à Paris en partenariat avec Europol, l'organisation policière européenne. Une deuxième étude, réalisée par la Fondation pour la Recherche Stratégique n'est pas plus positive.
La sécurité en général est considérée comme importante dans 89% des entreprises mais les cybermenaces sont moins prises en compte : seulement 79% des organisations les jugent importantes. Et Seulement la moitié des entreprises considère les cybermenaces comme une priorité. D'autres risques passent ainsi souvent devant : sécurité des salariés, sécurité économique et financière, atteintes à l'image, risques sur la propriété intellectuelle...
Les principales menaces identifiées restent du domaine de l'attaque extérieure technique même si les risques humains sont eux aussi pris en considération (voir schéma ci-dessous).



Globalement, les investissements sont jugés suffisants dans une moitié des cas (56% des répondants) et les collaborateurs sont bien sensibilisés dans à peu près les mêmes proportions (59% pour être exact). Mais la réglementation française est jugée comme inadaptée pour permettre une lutte efficace contre les cybermenaces par 63% des répondants. Il en résulte que les Etats-Unis sont vus comme mieux préparés que la France tandis que notre pays est considéré comme plus efficace que l'Allemagne.
Malgré tout, 71% des répondants (...)

Malgré tout, 71% des répondants sont confiants dans la capacité de leurs organisations respectives à répondre aux cybermenaces.
Enfin, la maîtrise des risques numériques est considérée comme porteuse de compétitivité pour les entreprises par 92% des répondants à l'enquête OpinionWay.

Des menaces de plus en plus sophistiquées

L'étude « Enquête sur la sécurité numérique des entreprises » réalisée par la Fondation pour la Recherche Stratégique n'apporte pas une vision plus positive de la situation, bien au contraire. Les cyberattaques gagnent en effet régulièrement en sophistication. Les attaques automatisées contre les sites web continuent, bien entendu : jusqu'à 100 attaques/seconde. Mais les menaces les plus graves proviennent des attaques constantes évoluées (Advanced Permanent Thread ou APT) basées sur de l'ingénierie sociale.
La complexité croissante des systèmes d'information entraîne une fragilité croissante face aux cybermenaces. A cela s'ajoutent des risques nouveaux liés à des pratiques nouvelles comme le BYOD et le cloud. Surtout, le champ opérationnel du système d'information s'accroit et c'est donc aujourd'hui toute l'entreprise qui est directement cybermenacé. En effet, même les chaînes de production industrielles sont reliées au réseau global de l'entreprise. Une attaque de type Stuxnet est donc envisageable dans de nombreuses entreprises.
L'auteur de l'étude insiste donc sur la nécessité de gérer globalement les risques, en transversalité des différentes divisions de l'entreprise, de préférence collégialement. De plus, la collaboration entre entreprises d'une part mais aussi entre les entreprises et l'Etat d'autre part est une nécessité.