Le dernier index Sécurité d’Accenture est pour le moins alarmant, la majorité des grandes entreprises peinent à identifier et à protéger leurs actifs clés contre les cyberattaques.

Réalisé en partenariat avec Oxford Economics auprès de 2.000 professionnels de la sécurité, l’index Sécurité d’Accenture fournit une référence de la cybersécurité dans les grandes entreprises. Mais le résultat est loin d’une réalité, celle de l’augmentation rapide de la fréquence et de la gravité des cyberattaques.

C’est ainsi, que l’on apprend que :

  • 34% seulement des entreprises sont en mesure de surveiller les menaces pesant sur les composantes clés de leur activité.
  • 73% sont incapables d’identifier et de protéger de façon satisfaisante leurs actifs et leurs processus essentiels.

Les deux chiffres se complètent et se confirment, l’amélioration et la modernisation des stratégies et des outils de sécurité dans les entreprises ne serait pas à la hauteur des attaques dont elles sont la cible !

  • On apprend également que 52% des attaques ne sont pas détectées par les équipes de sécurité de l’entreprise, mais par les employés !
Accenture-security-Index-2017-1

L’inquiétante faiblesse dans la performance sécuritaire des entreprises

L’index Sécurité d’Accenture repose sur 33 fonctions particulières de cybersécurité. Si les résultats varient d’un pays à l’autre, on peut estimer que quasi toutes les entreprises sont dans le rouge, avec au plan mondial une entreprise moyenne dont la performance n’est élevée que dans 11 des 33 fonctions de cybersécurité analysée.

Accenture-security-Index-2017-3

Les entreprises françaises figurent cependant en tête, avec leurs homologues britanniques, avec une moyenne en haute performance dans 44% des capacités, soit 15 fonctions sur 33. Elles occupent la tête, mais avec un résultat plutôt décevant !

Accenture-security-Index-2017-2

6 recommandations d’Accenture

Accenture donne 6 recommandations qui peuvent aider à concentrer les efforts d'amélioration des entreprises qui ont utilisé l'indice de sécurité pour évaluer leurs forces et leurs faiblesses :

1 - Définir le succès de la cybersécurité dans l'organisation

Améliorer l'alignement de la stratégie de cybersécurité de l'entreprise avec ses impératifs commerciaux, et améliorer les capacités de détection et pour repousser les attaques les plus avancées.

2 - Assurer des pressure-tests de sécurité

Engager les hackers externes pour réaliser les simulations d'attaque afin d’établir une évaluation réaliste des capacités internes. Par les pressure-tests, les dirigeants comprennent rapidement si l’entreprise peut vraiment résister à une attaque ciblée.

3 - Protéger de l'intérieur

Prioriser la protection des actifs clés et se concentrer sur les intrusions internes qui ont le plus grand impact potentiel. Au lieu d'essayer d'anticiper une variété de possibilités de violations externes, les entreprises peuvent se concentrer sur un nombre restreint incursions internes critiques.

4 - Continuer d'innover

Investir dans l'état de l'art des programmes qui permettent à l'entreprise de dépasser ses adversaires, au lieu de dépenser plus sur les programmes existants.

5 - Travailler la sécurité pour tout le monde

Donner la priorité à la formation pour tous les employés. Ils jouent un rôle essentiel dans la détection et la prévention des violations. Ils représentent la première ligne de défense d'une entreprise.

6 - L’exemple doit venir d’en haut

Le RSSI doit engager la direction générale et faire valoir que la cybersécurité est une priorité essentielle dans la protection de la valeur de l'entreprise.