Décryptages

• Dans sa dix-neuvième édition de l’étude sur la cyber-sécurité Ernst & Young s’appuie sur une enquête menée auprès de 1735 professionnels, formant un panel composé de DSI, de DAF, de PDG et de responsables de programmes de sécurité.
• L’enquête suggère que près de la moitié des comités exécutifs marchent à l’aveugle sans connaître les grandes cyber-menaces qui pèsent sur leur organisation.
• Même si les répondants font de la phase de réaction une priorité majeure, les investissements financiers dans ce domaine restent relativement faibles.
• Il est essentiel de continuer à rester étroitement connectés, afin de partager les bonnes pratiques et de s’enrichir mutuellement pour faire face à un ennemi commun qui cible toutes les organisations.

De nos jours, la sécurité est devenue un enjeu de premier plan pour les entreprises conscientes de la nécessaire approche globale des menaces. Même les instances et organisations internationales au service des entreprises les plus florissantes abordent le sujet, ne s’attardent plus seulement sur la cyber-sécurité, sujet  par essence technique mais travaillant sur la cyber-résilience, plus au cœur des priorités entrepreneuriales et stratégiques.

En effet, La cyber-résilience est liée à la notion de gestion (et non d'élimination) des risques. Non seulement l'élimination des risques est inenvisageable, mais elle est aussi un frein à la flexibilité.

Les résultats de cette étude ont permis, d’identifier le degré de maturité et les atouts des dispositifs de cyber-sécurité existants, mais aussi les améliorations dont ils pourraient bénéficier pour être optimum. De ce fait, trois phases d’actions clés, sont décelées pour mesurer la résilience d’une organisation confrontée à une cyber-menace.

                                                                                             Source : Ernst & Young

1. Anticipation avant tout.

Au cours des dernières années, les organisations ont pris confiance en leur capacité à prévoir et à détecter des attaques sophistiquées : 50% d’entre elles déclarent être en mesure de le faire, le niveau de confiance le plus haut depuis 2013.

Malgré ces avancées, l’étude du cabinet démontre que trop peu d’organisations accordent le niveau d’attention requis aux principes élémentaires de cyber-sécurité. Ainsi chaque jour, elles placent leurs clients, leurs salariés et même leur propre avenir face à des risques considérables :

• 44% des répondants n’ont pas de SOC (System Operation Center);
• 64% n’ont pas de stratégie de veille des cyber-menaces, ou seulement de manière informelle ;
• 55% n’ont pas de programme d’identification des vulnérabilités, ou seulement de manière informelle.

2. Résister : réévaluer les risques

Selon l’enquête menée par le cabinet d’audit financier EY, 86% des répondants déclarent que leur programme de cyber-sécurité ne répond pas pleinement aux besoins de leur organisation, contre 88% l’an dernier, signe que les mesures prises par les organisations ne sont toujours pas suffisantes pour faire face.

L’enquête révèle que près de la moitié des répondants (48%) déclarent que l’obsolescence de leur système de protection est une importante source de vulnérabilité. En outre, 57% des intervenants ont récemment connu un incident de cyber-sécurité, signe que les protections ne sont pas infaillibles.

Comment sortir des sentiers battus ?

Pour résister aux attaques, il est nécessaire d’adopter une ligne de défense multiple. Si les protections traditionnelles comme le chiffrement ou les pare-feux sont généralement perçus comme des obstacles difficilement franchissables, d’autres approches complémentaires existent également pour minimiser l’impact d’une attaque et résister aux assauts :

• Passer d’un système fail-safe à un système safe-to-fail
• Accepter de céder des fragments d’information pour une meilleure protection

3. Enfin la réaction

Le plan de continuité d’activité est au cœur de la protection des organisations depuis de nombreuses années. Volet essentiel de tout dispositif de cyber-sécurité, il figure systématiquement parmi les deux premières priorités des répondants depuis 2013. Cette année encore, 57% d’entre elles l’ont classé en top priorité, au même titre que la prévention des fuites et des pertes de données.

• 42% des répondants ne disposent pas d’une stratégie ou d’un plan de communication établi en cas d’attaque significative.

Dans les 7 premiers jours après une attaque :

• 39% feraient une déclaration publique dans les médias ;
• 70% tiendraient informés les organismes de régulation et compliance ;
• 46% ne tiendraient pas informés leurs consommateurs, même si les données compromises les concernaient ;
• 56% ne tiendraient pas informés leurs fournisseurs, même si les données compromises les concernaient.