Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

87% des entreprises démunies face aux cybermenaces

décembre 2012 par Emmanuelle Lamandé

A l’occasion de son 5ème colloque annuel, le CDSE (Club des Directeurs de Sécurité des Entreprises) tire la sonnette d’alarme et dévoile les résultats de deux enquêtes portant sur les enjeux liés aux cybermenaces. Si la prise de conscience des risques semble aujourd’hui établie pour une majorité de directions générales, 87% des entreprises françaises n’apparaissent pas suffisamment armées pour y faire face.

Selon le baromètre CDSE-OpinionWay [1] réalisé auprès des directeurs de sécurité, la fonction sûreté/sécurité est aujourd’hui considérée à 76% comme stratégique dans l’entreprise. 81% des répondants estiment, en outre, qu’elle devrait gagner en importance stratégique dans les années à venir. Pourtant, seuls 17% d’entre eux font à ce jour partie du Comité de direction (CODIR) ou du Comité exécutif (COMEX).

Si la prise de conscience des enjeux liés aux cybermenaces semble établie pour 79% des directions générales, le baromètre révèle cependant que 87% des entreprises françaises ne sont pas suffisamment armées face à ce phénomène.

84% des entreprises victimes de vol d’informations

84% des entreprises annoncent, d’ailleurs, être victimes de vol d’informations et les attaques virales et ciblées concernent 88% d’entre elles. 45% se disent concernées par les risques liés au BYOD, aux Smartphones et aux Tablettes, et 31% aux risques liés au Cloud Computing.

78% des directeurs de sécurité estiment être exposés au risque humain (maladresse, sabotage), 55% à l’usurpation d’identité et aux attaques par ingénierie sociale. Pourtant, 40% des entreprises interrogées déclarent encore ne pas sensibiliser leurs salariés aux risques numériques… même si 92% pensent que la maîtrise des risques numériques peut avoir des effets positifs sur la compétitivité des entreprises.

Malgré une prise de conscience des risques, les entreprises n’anticipent pas suffisamment aujourd’hui

« Les entreprises ne sont globalement pas aujourd’hui dans une logique d’anticipation », constate Bruno Gruselle, Auteur du rapport de la Fondation pour la Recherche Stratégique (FRS) [2] réalisé pour le compte du CDSE. Les entreprises souhaitent atteindre une sécurité optimale, en diminuant les coûts au maximum. Pourtant, l’usage du Cloud Computing, des Smartphones et Tablettes, considéré par tous comme incontournable, demande de repenser les moyens de protection des grands groupes, d’autant que le ciblage et le degré de sophistication des logiciels malveillants sont en forte progression.

Les directeurs sécurité reconnaissent globalement que les risques numériques existent, et qu’ils peuvent s’avérer critiques pour l’entreprise et son fonctionnement. Les entreprises interrogées sont directement soumises à de très nombreuses attaques journalières, toutefois avec un impact plus ou moins important sur leurs opérations. Elles font, d’ailleurs, la différence entre le bruit de fond permanent composé d’attaques de faible intensité et les attaques majeures qui visent plus particulièrement leur groupe. Les attaques visant les sites Internet restent les plus fréquentes, même si leurs effets restent relativement limités en termes opérationnels. Les attaques ciblées, de type APT, sont, quant à elles, beaucoup plus difficiles à détecter, car elles s’accompagnent de signaux faibles et laissent peu de traces.

La plupart des entreprises reconnaissent d’ailleurs que la question de la détection des actions malveillantes s’avère être une question clef : traitement des signaux faibles, création de dispositifs d’alerte et de gestion de crise… Toutefois, il reste beaucoup à faire en la matière…

Les principales attaques virales détectées par ces entreprises montrent, en outre, que le problème majeur est souvent inhérent à la complexité même du système d’information, le nombre et la diversité des systèmes et des applicatifs ayant explosé. De ce fait, les problèmes de mise à jour sont difficiles à gérer.

Toutefois, même si les outils numériques existants, tout comme ceux qui se déploient aujourd’hui (Cloud Computing…) ou se développeront demain (Internet des objets), s’avèrent des sources de vulnérabilités pour les entreprises, ils sont également des leviers fonctionnels, économiques et opérationnels incontournables.

Le collaborateur : un protecteur maladroit ?

Concernant les aspects « humains », il apparaît, selon l’étude, que les collaborateurs sont à la fois des sources potentielles de vulnérabilités, mais également l’un des remparts les plus importants pour assurer la protection des systèmes d’information et des données. Il est donc vital de pouvoir s’appuyer sur eux, tout en reconnaissant que la plupart des menaces se matérialisent pas leur biais.

Le pilotage de la politique de sécurité doit, quant à lui, se faire en association avec l’ensemble des parties prenantes stratégiques, techniques et opérationnelles. Ce système collégial doit à la fois servir de cénacle de réflexion sur les incidents rencontrés, mais aussi de courroie de transmission entre le réseau SSI et les dirigeants de l’entreprise.

A terme, il faudra également envisager de pouvoir pratiquer l’isolement logique, voire physique des équipes travaillant sur des projets futurs. Par ailleurs, la fonction sécurité devra aussi être intégrée dans l’ensemble des programmes de développement, au même titre que les autres fonctions métiers.

Un appareil juridique inadapté…

Au niveau juridique, 63% des personnes interrogées estiment, selon le baromètre CDSE-OpinionWay, que les réglementations françaises ne sont pas adaptées aujourd’hui aux réalités des cybermenaces. Cette inadéquation est également mise en exergue par l’étude de la Fondation pour la Recherche Stratégique. En effet, les responsables rencontrés semblent souhaiter que le cadre juridique national continue de s’étoffer, tout en soulignant qu’il doit rester applicable et cohérent avec les impératifs économiques des entreprises. Il existe aujourd’hui un enchevêtrement de mesures légales ou réglementaires de sécurité, qui se déclinent au niveau national, européen et international. Certaines entreprises doivent suivre et gérer des dizaines de textes qui peuvent parfois créer des niveaux de contraintes économiquement ou techniquement ingérables.

« Sans sombrer dans le défaitisme ni la paranoïa, il faut convenir de la nécessité de poursuivre ardemment le travail de fond engagé dans la plupart des entreprises françaises dans une perspective de sécurité globale et ce dans l’intérêt de tous. Protéger l’entreprise, c’est aussi concourir à sa pérennité », conclut Christian Aghroum, Administrateur et Président de la Commission Sécurité Numérique du CDSE.


[1] Cette étude a été menée par OpinionWay, pour le compte du CDSE, auprès de 139 décisionnaires sur les enjeux de sécurité, du 18 au 26 novembre 2012.

[2] Cette étude de la Fondation pour la Recherche Stratégique rassemble les résultats d’entretiens menés avec une vingtaine de directeurs de sécurité de grands groupes français industriels, gestionnaires de réseaux ou fournisseurs de service.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants