Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Equête CESIN-Provadys : Théoriquement préparées, les entreprises françaises ne sont pas entraînées pour faire face aux cyber-attaques

novembre 2013 par provadys cesin

Suite à une enquête menée dans le cadre du CESIN auprès des 140 RSSI des principales organisations françaises, Provadys met en lumière le degré de maturité des grandes entreprises françaises face aux cyber-attaques. Comment elles s’y préparent, les détectent et y font face ? Autant de questions qui semblent légitimes pour les entreprises en France à l’heure où l’on parle de cyber-guerre ou de cyber-terrorisme ou encore de cybercriminalité et qu’au niveau des états des moyens tendent à se mettre en place pour adresser ces thématiques.

Provadys, cabinet de conseil en technologies de l’information, présente dans son dernier ouvrage un compte rendu et une analyse critique des résultats d’une enquête menée cet été en partenariat avec le CESIN, Club des Experts de la Sécurité de l’Information et du Numérique.

Principaux enseignements de l’enquête :

Les entreprises ont globalement conscience de leurs vulnérabilités et faiblesses face au scénario de cyber-attaque

Cette prise de conscience trouve sa source dans le nombre croissant d’entreprises victimes de cyber-attaque : une sur deux (52%) déclare, en effet, avoir été affectée par ce type d’incident lors de trois dernières années. Mais aussi par le fait qu’elles se considèrent (à 88%) comme des cibles potentielles.

Elles s’estiment théoriquement préparées au risque de cyber-attaque…

En effet, elles intègrent dans leur majorité (60%) ce scénario dans leur processus de gestion de crise et (62%) mettent en place des moyens spécifiques dédiés à la prise en compte de cette menace.

Par ailleurs, pour renforcer leur volonté de se préparer face a ce risque, elles s’investissent massivement (96%) dans la réalisation de tests de pénétration et d’intrusion sur leurs sites les plus sensibles ; et intègrent, pour 81% d’entre elles, le scénario decyber-attaque dans ces mêmes tests.

… Cependant, elles manquent de maturité pour y faire face

Le risque de cyber-attaque n’est pas suffisamment pris en compte au niveau des composants sensibles des SI. Près des trois quart (71%) des entreprises déclarent ne pas disposer d’une cartographie de leurs SI organisée selon le niveau d’exposition au risque de cyber-attaque.

Un constat également observé dans leurs relations avec les prestataires et fournisseurs, dont elles ne connaissent pas, dans 63% des cas, leur plan de réponse face à ce type d’attaques.

Les entreprises disposent aujourd’hui d’outils techniques de détection…

Pourtant, l’étude démontre que ces outils ne sont pas utilisés à leur plein potentiel.

En effet, ils ne sont pas régulièrement, voir pas du tout réévalués en termes d’efficacité chez 43% des sondés, et ne gagnent pas suffisamment en maturité. Un chiffresurprenant quand on connaît la rapidité avec laquelle les menaces évoluent.

De la même manière, les utilisateurs ne sont à ce jour pas suffisamment impliqués dans les stratégies et moyens de détection : 53% des entreprises ne leur donnent pas de moyens pour détecter et/ou remonter une attaque. Il en résulte que les capacités de détection sous optimales.

… En revanche, elles ne sont pas suffisamment armées en termes de moyens de réaction…

D’un point de vue humain, elles sont 83% à ne pas disposer d’équipe dédiée ou en charge du traitement de ce type d’incidents. Au niveau pratique également, puisque la moitié (58%) ne définissent pas de processus ou de moyen de notification en cas decyber-attaque.

Pour les entreprises disposant de moyens de réaction, 45% ne procèdent pas à une réévaluation de leurs moyens de réaction face à une cyber-attaque.

… Mais aussi de récupération, parent pauvre de lagrande majorité des entreprises

Bien que la probabilité d’une agression par cyber-attaque soit très élevée à moyen terme,32% des sondés indiquent ne pas disposer d’outils permettant la traçabilité, l’enregistrement, la collecte des traces et preuves de l’agression détectée.

Plus inquiétant encore, 59% ne définissent pas de processus relatifs aux aspects juridiques et assurantiels suite à une cyber-attaque.

Une sensibilisation qui implique trop peu les utilisateurs pour qu’elle soit efficiente

La grande majorité (72%) des entreprises ne réalise pas d’exercice de crise intégrant un scénario de cyber-attaque et plus de la moitié (59%) ne prévoit pas d’en réaliser.

En revanche, 61% d’entre elles ont mis en place des campagnes de sensibilisation auprès de leurs collaborateurs… Mais sans réellement les impliquer (dans 77% des cas) dans les plans de réaction.

« Il est temps de passer de la théorie à la pratique régulière ! Et de la ligne Maginot à une défense en profondeur agile et adaptative », explique Luc Delpha, Directeur du Département Gestion des Risques et Sécurité de l’information de Provadys.

« Les entreprises sont aujourd’hui conscientes de la réalité du risque de cyber-attaque. Néanmoins, elles manquent de préparation pour faire face à une situation qui est passée du statut de "possibilité technique" à "quasi-certitude statistique" » conclut-il.


Voir les articles précédents

    

Voir les articles suivants