85% des organisations dans le monde déclarent avoir subi un incident de sécurité, ce qui contredit les 53% de décideurs informatiques qui affirment leur confiance dans leur niveau de cybersécurité !
Ça s’appelle se marcher sur la tête : d’un côté les 1.801 responsables informatiques d’entreprises de plus de 250 collaborateurs présents dans 16 pays et interrogés par Fortinet ont à 85% reconnu que leur organisation a subi un incident de sécurité au cours des deux dernières années, et de l’autre ils sont 53% à se dire confiants dans leur niveau de sécurité.
En France, ce sont 77% des décideurs informatiques qui déclarent avoir subi un incident de sécurité et 50% qui se déclarent confiants.
Comment peut-on à la fois avouer avoir subi une attaque et se dire serein ?
Selon Fortinet, les décideurs IT font preuve d’une certaine complaisance. Ainsi, 72% des personnes interrogées estiment en faire davantage et mieux que leurs pairs, contre 6% qui jugent être en retard. En France, ils sont réciproquement 78% et 3%. Les responsables informatiques français pêchent-ils par excès d’orgueil ?
Cette vision erronée d’une entreprise protégée ne doit pas cacher que dans 71% des cas, et 30% en France, c’est la direction informatique que les dirigeants des entreprises considèrent comme responsable. 42% d’entre eux (32% en France) pointent le département informatique dans son ensemble, et 29% (17% en France) un individu spécifique.
Le maillon faible persiste
Par ailleurs, les collaborateurs en dehors du service informatique, souvent reconnus comme le maillon faible de la sécurité dans l’entreprise, ne sont tenus pour responsables que dans 28% des cas (17% en France).
Concrètement, 33% des incidents de sécurité́ (26% en France) subis au cours des deux dernières années résultent de techniques d’ingénierie sociale, d’un ransomware ou d’un email de phishing.
Interrogés sur ce qu’ils auraient fait de différent en matière de sécurité, 42% des décideurs IT (36% en France) déclarent qu’ils auraient dû investir davantage dans la formation et la sensibilisation des collaborateurs en tant que levier de prévention des incidents. Cette éducation des utilisateurs réduit le risque d’être la victime d’une intrusion qui cible le maillon faible de la chaîne de cybersécurité, à savoir le collaborateur.
Agir en 2018 pour la cybersécurité
Entre le marteau et l’enclume, les décideurs IT :
- 50% (43% en France) déclarent disposer d’une visibilité étendue et d’un contrôle total sur les équipements qui accèdent au réseau ;
- 50% (43% en France) déclarent bénéficier d’une visibilité totale sur les tiers accédant aux réseaux ;
- 54% (38% en France) estiment disposer d’une visibilité et d’un contrôle sur les collaborateurs.
Ces chiffres démontrent un manque de confiance en matière de visibilité et confirment que ce sujet doit être prioritaire pour les entreprises. Pour autant, des mesures de sécurité de base telles que la segmentation du réseau ne seront planifiées que par 24 % des entreprises mondiales (29% en France) en 2018. Sans cette segmentation, un malware présent au sein d’un réseau reste libre de proliférer…
La ventilation des dépenses en cybersécurité
De l’étude menée pour Fortinet, nous retenons également des chiffres intéressants, ceux de la répartition des investissements en cybersécurité :
- 37% - Nouveaux services et solutions de sécurité (36% en France) ;
- 21% - Mise en œuvre des règles et processus de sécurité (24% en France) ;
- 14% - Mise à niveau des solutions de sécurité (11% en France) ;
- 10 % - Formation des collaborateurs (7% en France) ;
- 6% - Audit et évaluation (2% en France).
Les investissements dans les solutions de sécurité sont récurrents, ils se prolongent, entre les mises à jour et les nouveauté, d’année en année. Cependant, pour 41% des répondants (45% en France), la formation devrait rejoindre le Top 3 des investissements les plus récurrents.
Source : « Global Enterprise Security Survey » 2017 de Loudhouse pour Fortinet
Image d’entête 503053444 @ iStock Tharakorn