Facile à dire, moins à faire… Un adage qui pourrait tout à fait correspondre à la situation qu’illustre la nouvelle étude « How Misaligned Incentives Work Against Cybersecurity » d’Intel, lequel s’est associé pour cette occasion au Think Tank Center for Strategic and International Studies (CSIS). Il en ressort que le talon d’Achille de la cybersécurité des entreprises ne réside pas dans l’élaboration de leur stratégie informatique mais bel et bien dans son application. A cet égard, l’étude qui a interrogé plus de 800 personnes provenant de compagnies de 500 à 5.000 employés dans le monde, se charge également de divulguer quelques conseils et bonnes pratiques inspirées du modus operandi des pirates afin d’éviter les erreurs.
Les entreprises trop rigides face à la mobilité des pirates ?
Tout d’abord, le rapport, qui a missionné Vanson Bourne, un célèbre cabinet américain d’analyse de marchés et tendances technologiques, fait état d’un certain manque de souplesse de la part des entreprises dont les employés ne peuvent agir sans l’aval de leur hiérarchie. Et ce, selon les processus qui ont déjà été établis. Pour l’étude, cette condition, qui consiste à se mettre en position de défense, est une faiblesse, surtout par rapport à la liberté et à l’agilité dont font preuve les cyberpirates. Lesquels semblent avoir toujours une longueur d’avance sur les spécialistes. « Le marché de la lutte contre le cybercrime ne connaît pas la crise. Notamment grâce à sa propre structure qui récompense rapidement les innovations et promeut les outils les plus performants, explique Fabien Rech, directeur général d’Intel Security France. Afin de faire face aux hackers, les professionnels de la cybersécurité ont besoin d’être aussi agiles que les cybercriminels mais également de maintenir les motivations au sein de toute leur équipe informatique. »
L’écart entre la stratégie et son application
Toute stratégie de cybersécurité, aussi bonne soit-elle, ne suffit pas si la mise en oeuvre est mal conduite. Ainsi, si plus de 90% des entreprises interrogées affirment avoir élaboré une stratégie de sécurité informatique, la moitié reconnaît ne pas l’avoir appliquée comme elle l’aurait dû. A ce titre, plus de 80% des sondées avouent même avoir observé des failles dans leur sécurité malgré leur stratégie. Et ceci à cause de son implémentation mal effectuée. « C’est facile d’élaborer une stratégie, mais l’étape la plus complexe réside surtout dans sa mise en place », souligne Denise Zheng, directrice adjointe chez CSIS. « La manière dont les gouvernements et les entreprises adressent les possibles dissonances dans leur approche de la cybersécurité va déterminer l’efficacité de toute leur stratégie de cyberdéfense. La question n’est plus de savoir ce qui devrait être fait mais plutôt pourquoi tout n’est pas fait et surtout comment mieux le faire. »
La mauvaise cohésion entre la direction et les équipes
Pour expliquer ce fait, le rapport pointe du doigt le manque d’objectivité des dirigeants lorsqu’il s’agit d’évaluer l’efficacité des mesures incitatives envers leur équipe numérique. Pour illustrer ce fait, l’étude rappelle que 42% des membres des équipes informatiques ne se sentent pas assez encouragés par leurs supérieurs. Tandis que 82% des cadres exécutifs et 92% des dirigeants croient l’inverse. Pourtant, malgré ce fait, 65% des informaticiens se sentent personnellement motivés pour renforcer la sécurité de leur entreprise. De même, si 95 % des entreprises ont déjà expérimenté les conséquences de brèches de sécurité, incluant les perturbations de leurs opérations, la perte d’adresses IP ou les attaques directes à l’image de la marque, seules 32 % ont souffert d’une perte de revenus ou de bénéfices liée à ces brèches. Ce qui peut également fausser le sentiment de sécurité.
Comment s’inspirer du cybercrime pour réduire les failles du système
Pour retourner la situation des entreprises à leur avantage, l’étude estime qu’il serait bon d’adopter des pratiques issues des pirates eux-mêmes. Et ce, en développant une approche de Security as a Service, à l’instar du Cybercrime as a Service. Cela pourrait aussi passer par le fait de participer au partage des informations sur les menaces ou encore par le fait de recruter des jeunes talents dans le domaine de la cybersécurité avant qu’ils ne passent du côté de la force obscure !
Ségolène Kahn
Commentez