Qui est responsable en cas de cyberattaque  Pourquoi les dirigeants sont mal informés  Pourquoi la cybersécurité n’est-elle pas une priorité  Autant d’interrogations qui laissent perplexe…

Il est des études qui font peur, surtout lorsqu’elles touchent à la sécurité. Une récente enquête européenne de Vanson Bourne - auprès de 1 00 décideurs informatiques et 3 00 salariés d’entreprises de plus de 1 00 salariés - vient démontrer de nombreux dysfonctionnements dans la cybersécurité.

1Les dirigeants dans le brouillard

Premier enseignement de l’étude, près d’un tiers des décideurs et des salariés rejettent la responsabilité des violations de données sur le dirigeant de l’entreprise. Certes, celui-ci est juridiquement responsable de son entreprise. Mais ont peut estimer que 80 % des incidents de sécurité sont internes, c’est-à-dire qu’ils mettent en cause la faiblesse du maillon humain. L’attitude du tiers des salariés se révèle donc irresponsable, et nécessite d’être recadrée.

Dans le même temps, les décideurs informatiques imposent une sorte de loi du silence en cas de cyberattaque. Un quart d’entre eux n’en informent pas leur direction  Une pratique ancienne et bien française, celle de cacher les faiblesses de l’informatique, qui perdure malgré que les dirigeants sont de mieux en mieux informés sur les sujets de sécurité.

Cette désinformation serait en partie à l’origine du désintérêt des chefs d’entreprise français pour la cybersécurité. Ils ne sont que 11 % à la considérer comme une priorité. Le chiffre est bien faible face aux menaces qui pèsent sur l’entreprise…

2La vulnérabilité et la menace

La menace est palpable, 3 décideurs informatiques sur 10 (28%) s’attendent à être attaqués dans les 3 prochains mois  Ce pourcentage est en revanche nettement inférieur à la moyenne européenne, qui est de 37 %, soit environ 4 décideurs sur 10.

Face aux menaces grandissantes, un décideur sur 3 (35%) estime que ces dernières évoluent plus vite que les systèmes de défense en place. Il est légitime de se poser la question de l’origine de cette vision. Certes, les menaces évoluent très rapidement, ce qui selon les analystes tendrait à démontrer que les approches de sécurité ne sont plus adaptées. Mais dans le même temps, on peut se demander si certains décideurs IT ne baissent pas trop rapidement les bras devant la transformation qui s’impose ?

3Le comportement des salariés

L’humain considéré comme le maillon faible. Il est certes à l’origine de certaines dérives : utilisation d’appareils personnels pour accéder aux données professionnelles ou infraction à la politique de sécurité de l’entreprise sont monnaie courante. Et favorisent le Shadow IT…

Mais dans le même temps, une partie des décideurs IT (37%) reconnaissent que la négligence ou le manque de formation  des salariés sont un défi en matière de sécurité. Démontrant ainsi que la sécurité n’est pas seulement une question de technologie… Le comportement des salariés a également un fort impact.

4Améliorer les processus de sécurité

Source : Etude EMEA de Vanson Bourne pour VMware, mars 2016 Image d’entête 75697265 @ iStock seamartini