Pas vu, pas pris ! Une nouvelle étude publiée par l'éditeur de solutions de cybersécurité Bitdefender a constaté que 42 % des professionnels de l'informatique et de la sécurité interrogés avaient reçu l'ordre de garder les failles confidentielles - c'est-à-dire de les dissimuler - alors qu'elles auraient dû être signalées.
Cette enquête, qui repose sur les réponses de plus de 400 professionnels de l'informatique et de la sécurité travaillant dans des entreprises de 1 000 salariés ou plus, note aussi qu’un tiers a admis avoir gardé une faille confidentielle au lieu de la signaler.
Cette étude montre qu'un nombre alarmant d'organisations sont prêtes à ignorer leur obligation de signaler les violations de données aux autorités de réglementation et aux clients, dans le but d'éviter des sanctions juridiques et financières.
De plus en plus de violations de données
Cette étude intervient moins d'un an après la condamnation par la FTC de Joseph Sullivan, ancien CSO d'Uber, pour avoir tenté de dissimuler un piratage d'Uber en 2016. L'affaire avait mis en évidence le fait que le mensonge sur les violations de données est une infraction pénale grave dans de nombreuses juridictions.Alors pourquoi tant de dirigeants du secteur technologique font-ils pression sur leur personnel pour qu'il dissimule les violations de données ? La réponse est que le paysage des cybermenaces devient de plus en plus exigeant, 52 % des organisations ayant subi une violation de données au cours des 12 derniers mois.
Les cinq menaces qui préoccupent le plus les personnes interrogées sont les vulnérabilités logicielles et les Zero-days (53,9 %), le phishing et l'ingénierie sociale (52,2 %), les attaques de la chaîne d'approvisionnement (49 %), les ransomwares (48,5 %) et les menaces internes (36,5 %).
« Dans le monde entier, les organisations subissent une pression énorme pour faire face à des menaces en constante évolution telles que les ransomwares, les vulnérabilités Zero-day et l'espionnage, tout en luttant contre la complexité de l'extension de la couverture de sécurité à travers les environnements et une pénurie continue de compétences », a déclaré Andrei Florescu, directeur général adjoint et vice-président senior des produits au sein du groupe Bitdefender business solutions.
Prévenir les violations de données
Bien qu'il soit difficile de garantir qu'une organisation traitera les cyberincidents de manière responsable, les responsables de la sécurité proactifs peuvent s'efforcer de réduire les risques de tromperie en allégeant le fardeau des équipes de sécurité humaines.Il s'agit notamment d'investir dans des solutions de prévention, de détection et de réponse aux menaces qui permettent aux utilisateurs de traiter et de résoudre les incidents de sécurité plus rapidement, afin de réduire l'impact sur l'organisation et l'exposition aux risques juridiques et financiers.