Une enquête, effectuée auprès de 1 000 professionnels de l’IT, indique que les principales dépenses en matière de cybersécurité se focaliseront en 2020 sur un renforcement de la protection des données et des accès au cloud.

Menée par ABI Research (pour Canon USA), auprès de quelque 1 000 professionnels américains de l’IT, la seconde édition de l’enquête de l'Office of the Future révèle trois menaces majeures en matière de cybersécurité :

1Les malwares et les ransomwares

Plus d'un tiers des personnes interrogées considèrent qu’ils représentent un risque élevé pour le SI. Paradoxalement, un quart affirment que les employés sont peu ou pas sensibilisés à la sécurité et qu'ils ne comprennent pas leur rôle dans la prévention.

2Les dispositifs compromis

À l'ère du tout numérique et du télétravail, 21 % des décideurs informatiques interrogés estiment que les dispositifs compromis ont un impact fort sur leur réseau. Les répondants classent la sécurité des données, la sécurité du réseau et l'authentification des utilisateurs et la gestion des identités comme les trois technologies les plus pertinentes pour aider à contrer ce type de menace.

Concernant les réseaux, rappelons que les organisations ne doivent pas négliger la sécurité de leur supply chain. La chaîne logistique devient une cible privilégiée des cybercriminels. Ces attaques ne sont pas récentes (cyberattaques de Target en 2013, de CC Cleaner et Not Peyta en 2017).

Mais le phénomène continue de proliférer et de monter en puissance . En 2018, l’attaque la plus notable a touché l’entreprise Magecart, infectant les formulaires de paiement de plus de 6400 sites de commerce électronique dans le monde.

Le rapport de l'OTA (Online Trust Alliance de l'Internet Society), estimait que ce type d’attaque aurait augmenté de 78 % l’année dernière et a touché près deux entreprises sur trois pour un coût moyen de près de 900 millions d’euros. La moitié de ces attaques concerneraient la chaîne d’approvisionnement.

3L’ingénierie sociale

Le facteur humain reste toujours une menace persistante, soit à cause d’actes malveillants (un tiers des réponses), soit à cause d’erreurs humaines (25 %). Le rapport 2019 de Proofpoint sur les facteurs humains a donné début septembre des détails sur les risques pour la sécurité humaine des réseaux d'entreprise.

Il révèle que 99 % des menaces nécessitent une action humaine pour s’exécuter (activer une macro, ouvrir une pièce jointe, cliquer sur un lien, etc.). Ce constat souligne l’importance de l’ingénierie sociale dans l’efficacité des attaques.

Malgré ces réponses alarmantes et un contexte de plus en plus délétère, 59 % des personnes interrogées déclarent que leur organisation a un programme clair en matière de cybersécurité.

Engagées dans leur transformation numérique, les entreprises commencent à prendre conscience des risques engendrés par le cloud. C’est la raison pour laquelle, la moitié des responsables interrogés pour cette enquête annoncent qu’ils vont augmenter leurs dépenses dans la sécurité du cloud et notamment dans le Cloud Access Security Broker (CASB).

À cause des différentes réglementations, 40 % des personnes indiquent également qu’elles vont déployer des solutions de chiffrement afin de protéger les données (et notamment celles qui sont dans le cloud) et ne pas prêter le flanc à des amendes ou à des attaques en justice.

Cette attitude est d’autant plus surprenante qu’il s’agit de responsables américains. Ils ne sont peut être pas tous concernés par le RGPD.  Par contre, certains anticipent l’entrée en vigueur en janvier prochain du California Consumer Privacy Act (CCPA).

Pour rappel, l’ACCP ne s’applique qu’aux entreprises californiennes dont le chiffre d’affaires est supérieur à 25 millions de dollars et aux data brokers (spécialisés dans la revente de données personnelles). Par ailleurs, à la différence du RGPD, l’ACCP ne sanctionne qu’à partir du moment où une violation a été constatée.

Mais d’autres États pourraient s’inspirer de la Californie…

Source : Canon