Selon une étude du Ponemon Institute, le fossé culturel entre les équipes de sécurité informatique et les équipes d'ingénierie des systèmes d'exploitation est inquiétant. Beaucoup d’organisations ne disposent pas d’un programme de cybersécurité pleinement mature.
Les cyberattaques contre les infrastructures critiques sont de plus en plus fréquentes et graves, et les entreprises ont du mal à y faire face. 63% des organisations ont connu un incident de cybersécurité ICS/OT au cours des deux dernières années.
Et il a fallu près d'un an en moyenne pour détecter, enquêter et remédier à l'incident. Cela est dû en partie à la transformation numérique et aux tendances de l'internet industriel des objets (IoT) – victimes d’attaques de plus en plus sophistiquées - qui étendent les risques à l'environnement OT et ICS.
Des COMEX pas informés
Ce décalage institutionnel explique pourquoi seulement 21 % des organisations ont atteint la pleine maturité de leur programme de cybersécurité ICS/OT, dans lequel les menaces émergentes déterminent les actions prioritaires et les dirigeants/COMEX sont régulièrement informés de l'état de la sécurité.
Mais ce rapport constate que la plupart des organisations ne disposent pas du modèle de gouvernance IT/OT unifié pour la sécurité des SCI nécessaire pour mener une stratégie de sécurité holistique.
Un manque de « propriété » claire
Seuls 43 % des entreprises interrogées disposent de politiques et de procédures de cybersécurité alignées sur leurs objectifs de sécurité des SCI et des OT. À peine plus d'un tiers (39 %) disposent d'équipes informatiques et techniques qui collaborent de manière cohérente afin d'obtenir une position de sécurité mature dans les deux environnements.
Les conseils d'administration sont-ils au courant des initiatives en matière de cybersécurité des technologies de l'information dans leurs entreprises ? 45 % des professionnels interrogés disent ne pas l’informer des initiatives en matière d'OT.
Les organisations sont confrontées à une myriade de défis pour faire travailler ensemble l'informatique et la télématique : 44% des répondants attribuent ces défis aux différences entre les meilleures pratiques traditionnelles de sécurité informatique des entreprises et ce qui est possible dans un environnement OT.
Par exemple, les systèmes OT ne peuvent pas tous être protégés contre les vulnérabilités comme le sont les systèmes IT. Il y a également un manque de « propriété » claire pour le cyber-risque industriel dans 43% des organisations, ce qui explique pourquoi moins de la moitié des conseils d'administration entendent parler des initiatives de cybersécurité des SCI et des OT.
Pour couronner le tout, 41 % des entreprises ne parviennent pas à recruter des professionnels de la sécurité des systèmes d'information et des technologies de l'information ayant une expérience adéquate. Cependant, malgré tous ces défis, 50 % sont optimistes quant à l'avenir de leur programme de cybersécurité ICS/OT.