Alors que les environnements informatiques se complexifient, mêlant cloud, mobilité et IoT, les cyber-risques évoluent eux-aussi. Une étude réalisée par le Ponemon Institute pour Tenable, une société spécialisée dans la détection de vulnérabilités, a évalué l’exposition des entreprises à ces nouvelles menaces.

Pour le rapport « Mesure et gestion des cyber-risques pour les opérations commerciales », publié par Tenable, plus de 2400 professionnels IT dans six pays ont répondu à une enquête menée par le Ponemon Institute. Les résultats montrent que 91 % des répondants ont observé au moins un cyber-événement avec un impact sur l'activité de leur entreprise au cours des 24 derniers mois. 60 % des entreprises dans le monde ont même connu au moins deux cyber-événements notables au cours de la même période. Ces événements prenaient la forme de cyberattaques entraînant une perte de données, des perturbations ou des temps d'arrêt importants pour les opérations, la production et le matériel d'exploitation.

Fuites de données et sécurité IoT/OT, deux préoccupations majeures

Selon l'enquête, les préoccupations les plus importantes en matière de cybersécurité en 2019 sont les risques liés aux tiers, les fuites de données et les attaques contre les équipements IoT (Internet des Objets) ou OT (technologies opérationnelles). L'essor des équipements connectés démultiplie en effet la surface d'attaque, rendant les entreprises d'autant plus vulnérables.

Si 23 % seulement des sondés ont indiqué que leur entreprise avait connu une attaque impliquant de tels équipements au cours des deux dernières années, cette menace préoccupe 56 % d'entre eux. Par ailleurs, les fuites de données impliquant 10 000 clients ou employés ou plus inquiètent 52% des répondants pour 2019.

incidents-2019 (1)

En dépit de ces constats, 54 % des entreprises ne mesurent pas, et donc ne comprennent pas, les coûts induits par le cyber-risque.

  • Seuls 29 % des sondés déclarent avoir une visibilité suffisante sur leur exposition au cyber-risque, qui couvre l'ensemble de leurs systèmes d'information (infrastructure IT traditionnelle, cloud, conteneurs, IoT et technologies opérationnelles).
  • 41% seulement tentent de quantifier l’impact d’un événement de sécurité.

Dans beaucoup d’entreprises, les décisions relatives à l'allocation des ressources, aux investissements technologiques et à la priorisation des menaces sont donc prises sans aucune visibilité sur l’impact potentiel des cyber-risques. Les entreprises qui évaluent cet impact citent pourtant des enjeux essentiels, comme le vol de propriété intellectuelle, le coût pour l’organisation ou la productivité des employés.

facteurs-eval-cyberattaque (1)

Un manque d’indicateurs, même chez les entreprises qui mesurent le cyber-risque

Parmi les entreprises qui mesurent les coûts du cyber-risque, 62 % doutent de l'exactitude de leurs indicateurs. Par ailleurs, plusieurs indicateurs jugés importants par les répondants ne sont pas toujours mesurés.

  • Si 64 % des sondés classent le délai d'évaluation comme un KPI essentiel, seulement 49 % d'entre eux le mesurent.
  • 70 % des sondés évaluent le délai de remédiation comme un KPI essentiel, mais seuls 46 % le mesurent.
  • Seuls 30 % des sondés estiment que leur entreprise peut traduire les KPI du cyber-risque en mesures concrètes.

Des risques encore trop souvent gérés de façon manuelle

Par ailleurs, dans beaucoup d'entreprises, la gestion des vulnérabilités repose encore en bonne part sur des processus manuels. Pourtant, 48 % des répondants considèrent que ceux-ci entravent leur capacité à réagir en cas de menace.

  • Plus de la moitié des sondés (58 %) déclarent manquer de personnel pour déceler les vulnérabilités en temps voulu.
  • Enfin, les entreprises ne sont que 35 % à effectuer des scans si une évaluation fait état de risques pour les données sensibles.

Pour 2019, les deux principales priorités des RSSI en matière de gestion des menaces informatiques sont de renforcer la capacité de réaction de leur organisation et de réduire la complexité de leur infrastructure de sécurité.

priorites-2019 (1)

Source : Etude Ponemon-Tenable

AUCUN COMMENTAIRE