Un signalement des incidents de cybersécurité qui laisse à désirer

L’enquête de Keeper montre qu’il n’existe pas de politique de signalement des incidents informatiques, malgré le risque croissant de cybermenaces. Près de trois sondés sur quatre (74 %) ont dit craindre qu’un désastre de cybersécurité n’affecte leur organisation, et 40 % des interrogés ont dit que leur organisation avait déjà subi un désastre informatique. Malgré ces inquiétudes, le signalement des violations à l’équipe dirigeante d’une entreprise et aux autorités compétentes est souvent évité.
• Signalement externe : 48 % des sondés ont eu connaissance d’une attaque de cybersécurité que leur organisation n’a pas signalée aux autorités externes compétentes.
• Signalement interne : 41 % des cyberattaques n’ont pas été divulguées aux dirigeants internes.

Un taux de signalement des incidents faible et un taux de culpabilité élevé

Parmi ceux qui admettent avoir omis de signaler une attaque ou une violation à la direction, 75 % déclarent se sentir « coupables » de ne pas l’avoir fait. La peur, l’oubli, l’incompréhension et une mauvaise culture en termes de cybersécurité d’entreprise sont autant de facteurs qui contribuent à la sous-déclaration généralisée des atteintes à la sécurité. Les trois principales raisons pour lesquelles une attaque ou une violation n’a pas été signalée aux dirigeants :
• La peur des répercussions (43 %).
• Penser que le signalement n’était pas nécessaire (36 %)
• Oubli de signaler l’incident (32 %)

Une culture des organisations qui ne donnent pas la priorité à la cybersécurité

Malgré les conséquences potentielles à long terme sur le plan financier et réputationnel, les mauvaises pratiques en matière de divulgation et de transparence sont prédominantes. La crainte d’une atteinte à court terme à la réputation de l’organisation (43 %) et d’éventuelles répercussions financières (40 %) explique en grande partie l’absence de déclaration.

Les personnes interrogées ont également indiqué qu’il était absolument nécessaire que la haute direction fasse preuve d’un intérêt direct pour la posture face à la cybersécurité de l’organisation et qu’elle se tienne aux côtés de ses équipes informatiques et de sécurité, en leur fournissant les ressources et le soutien dont elles ont besoin pour signaler les attaques et y répondre.
• Un total de 48 % des personnes interrogées ne pensent pas que la direction se soucierait d’une cyberattaque (25 %) ni qu’elle y répondrait (23 %).
• Près d’un quart de toutes les personnes sondées (22 %) ont déclaré que leur organisation n’avait « aucun système en place » pour signaler les violations à la direction.

« Les chiffres soulignent la nécessité pour les organisations de procéder à des changements culturels importants autour de la cybersécurité, qui est une responsabilité partagée », a déclaré Darren Guccione, CEO et cofondateur de Keeper Security. « La responsabilité commence au sommet, et les dirigeants doivent créer une culture d’entreprise qui donne la priorité au signalement des incidents de cybersécurité, sans quoi ils s’exposent à des responsabilités juridiques et à des pénalités financières coûteuses, et mettent en danger les employés, les clients, les parties prenantes et les partenaires. »

Les bonnes pratiques

Dans le climat actuel de sécurité à fort risque, il est essentiel que les entreprises encouragent la transparence et l’honnêteté dans les rapports sur les cyber-catastrophes, et qu’elles adoptent les bonnes pratiques, politiques et procédures pour se prémunir contre les menaces permanentes. Certains des moyens les plus efficaces pour prévenir les cyber-catastrophes, notamment la gestion des mots de passe et des accès privilégiés, sont les plus simples, mais aussi les plus importants pour la protection des organisations.

Méthodologie

Keeper a demandé à un cabinet de recherche indépendant de sonder 400 responsables des technologies de l’information et de la sécurité en Amérique du Nord et en Europe afin d’obtenir leur point de vue sur les incidents, les rapports et la récupération en cas de cyber-catastrophe. Un cabinet de recherche indépendant a mené l’enquête en 2023. Keeper définit les « désastres de cybersécurité » comme tout événement qui affecte gravement la confidentialité, l’intégrité ou la disponibilité d’un système d’information.