Le Club des experts de la sécurité de l’information et du numérique (Cesin) a lancé une enquête auprès de ses 235 membres afin de mieux discerner le poids de la cybersécurité au sein des grandes entreprises françaises. Parmi les interrogés, 125 membres du club, qui sont tous responsables de la sécurité et des systèmes (RSSI) pour des grands comptes, ont répondu à cette enquête, opérée par le cabinet de sondage Opinionway afin de dresser un baromètre des capacités des grandes entreprises en termes de sécurité informatique. En résulte que les moyens mis en œuvre pour combattre les cybermenaces ne semblent, en général, pas suffisants.
Certes, on constate une forte prise de conscience concernant l’importance de la sécurité du numérique. En effet, 81% des entreprises confirment avoir fait l’objet d’attaques aux cours des 12 derniers mois. En revanche, les moyens entrepris pour lutter contre ce fléau ne sont pas au rendez-vous. Notamment en ce qui concerne le recrutement de personnes en charge de la sécurité des systèmes d’information (SSI) soit à la direction des systèmes d’information (DSI) soit à la direction des risques et de la sécurité. A cet égard, à peine 31% des entreprises se sentent satisfaites de leurs niveaux de recrutement sur ces postes. Reste que la majorité d’entre elles estime toujours que les ressources techniques, financières et humaines dédiées à la cybersécurité sont à améliorer.
Autre enseignement, 58% des RSSI interrogés s’estiment insatisfaits des outils informatiques disponibles sur le marché pour protéger leur système d’information. De même, ils se sentent incertains quant à leur capacité à lutter contre les cyberattaques qui se font de plus en plus nombreuses. En outre, 40% de personnes interrogées envisagent de souscrire à une cyber-assurance… au cas où ! Ce qui en dit long sur le manque de confiance des entreprises à l’égard de leur capacité à sécuriser leurs systèmes d’information.
Par ailleurs, ce qui préoccupe le plus les entreprises sont les facteurs de dépendance humaine et les vulnérabilités résiduelles qui menacent le patrimoine informationnel des entreprises. Cela signifie que les incidents sont dus, pour la plupart, à une erreur de la part d’un employé, voire d’une attaque en interne. Autre facteur de vulnérabilité, les nouveaux usages du numérique qui s’imposent de plus en plus amènent aussi leur part de risque. A commencer par le Cloud qui pose des questions de confidentialité des données. Suit le Bring Your Own Device (BYOD) qui autorise les salariés à utiliser leur PC ou leur smartphone personnels dans le cadre professionnel. Enfin les objets connectés apportent également leur lot de menaces. Résultat : 93% des entreprises interrogées n’ont, pour l’heure, pas confiance ni en leurs outils informatiques ni en leurs fournisseurs et ni en leurs hébergeurs.
Du côté des RSSI, c’est sur les moyens humains qu’il faut avant tout miser. Principalement en formant les employés aux bonnes pratiques de sécurité informatique plutôt que sur les outils techniques. Côté ressources humaines et management des équipes, cela passerait par accorder plus d’importance aux DSI en leur confiant une plus grande place dans la gouvernance de l’entreprise.
En d’autre termes, ce baromètre conforte certaines tendances, notamment la montée de l’inquiétude face aux cyberattaques. Précisons, d’ailleurs, que 70% des entreprises estiment qu’elles ne feront que croître dans l’année qui suit. Cependant, l’étude remet également en perspective certains points tels que la place des RSSI dans l’entreprise ou encore l’écart entre les menaces redoutées et les accidents subis. A ce propos, la plupart des entreprises croit que le principal danger viendrait du vol, de la fuite d’information ou d’attaques virales. En réalité, celles-ci n’interviennent que dans 44% des cas. Car ce sont les demandes de rançon qui, en réalité, figurent en première position parmi les attaques les plus fréquentes (à hauteur de 61%), suivies, loin derrière, par les dénis de services (38%) et les attaques ciblées (35%).
Ségolène Kahn
Commentez