Parmi les 2000 personnes interrogées dans le monde, 58% ont confirmé que les directions ne considèrent pas les cyberattaques comme un risque majeur pour leur société. Malgré tout, les incidents touchant les infrastructures ou le patrimoine des entreprises, ainsi que d’autres problèmes plus sérieux liés à la sécurité ont, en moyenne, coûté à ces PME plus 1 185 000 euros ces douze derniers mois.

L’étude a également permis de découvrir que plus le décisionnaire était haut placé dans la hiérarchie de l’entreprise, plus sa connaissance et sa conscience des menaces potentielles étaient faibles.

Gerhard Eschelbeck, Directeur Technique chez Sophos explique : « Le nombre de cyberattaques augmente chaque jour. Et pourtant, cette étude montre clairement que les PME ne se rendent pas compte du danger et des pertes que peut occasionner une stratégie de sécurité faible ou mal définie. »

Dans cette étude, on lit également qu’il existe trois difficultés qui affectent la mise en place d’une stratégie solide de sécurité : établir des priorités dans la sécurité (44%), disposer de budgets insuffisants (42%) et manquer d’expertise en interne (33%). De nombreuses PME n’ont également pas défini clairement qui était en charge de la cybersécurité au sein de l’entreprise. Ainsi, cette tâche incombe donc souvent au directeur des systèmes d’informations.

Gerhard Eschelbeck développe : « Actuellement, dans les PME, le DSI est souvent un directeur « solitaire » de l’information. Au sein de l’entreprise, ses responsabilités sont de plus en plus nombreuses et complexes. Pourtant, ces « DSI » ne peuvent absolument pas tout faire tout seuls et à l’heure où les employés ont besoin d’accéder à des applications, des systèmes et des documents sensibles à partir de divers équipements mobiles, il semblerait que la sécurité reste au second plan. »

L’étude met également en lumière d’autres incertitudes, notamment en ce qui concerne le BYOD (Bring Your Own Device) et le Cloud comme vecteurs potentiels d’attaques. 77% des sondés expliquent que l’utilisation des applications en Cloud et des services d’infrastructures informatiques augmentera ou restera la même l’année prochaine. Malgré tout, un quart de ces sondés déclarent ne pas savoir si cela peut affecter ou non la sécurité.

De la même façon, pour 69% des sondés, les accès mobiles aux applications sensibles seront plus nombreux l’année prochaine, bien que la moitié d’entre eux pensent que ceci risque d’affaiblir la sécurité informatique de l’entreprise.

Pour Larry Ponemon, président de l’Institut Ponemon : « Les petites et moyennes entreprises ne peuvent pas se permettre de mettre la sécurité de côté. Sans sécurité, les nouvelles technologies mises en place seront directement confrontées aux cyberattaques, ce qui risque de coûter des sommes considérables à l’entreprise. Les directeurs des systèmes d’information subissent une pression considérable pour mettre en place des technologies agiles et efficaces visant à fluidifier les habitudes travail. Cependant, ceci ne devrait pas empiéter sur la sécurité. Le marché doit comprendre les dangers d’une cybersécurité ignorée ou mal maîtrisée et mettre en place des outils pour aider les PME à renforcer leur stratégie de sécurité. »

Afin de mieux comprendre la façon dont ces entreprises gèrent la sécurité et les menaces, l’étude a ciblé des PME localisées aux Etats-Unis, au Royaume-Uni, en Allemagne et en Asie Pacifique (Australie, Inde, Chine et Singapour). Voici les principales conclusions de l’étude :

– 58% des personnes interrogées expliquent que leur direction ne considère pas les cyberattaques comme un risque majeur pour l’entreprise.

– Un tiers des sondés avouent qu’ils ignorent si leur entreprise a été victime d’une cyberattaque ces douze derniers mois. 42% des sondés ont déclaré que leur entreprise avait été la cible d’une cyberattaque lors des douze derniers mois.

– Ce sont les sondés les plus hauts placés dans la société qui montrent la plus forte méconnaissance des menaces pour leur entreprise ; ceci signifie que plus un individu est éloigné des problématiques pratiques et quotidiennes liées aux menaces, moins il est conscient et informé des dangers qui pèsent sur son entreprise et sur la nécessité de faire de la sécurité une priorité.

– Les RSSI et les directions sont rarement impliqués dans les décisions en matière de priorités de sécurité informatique. 32% déclarent que c’est au directeur des systèmes d’informations d’établir des priorités, alors que 31% pensent que ça n’est pas la responsabilité d’une seule personne.

– Pour 44% des sondés, la sécurité informatique n’est pas prioritaire. Et pour preuve, 42% déclarent ne pas disposer de suffisamment de budget pour mettre en place une sécurité efficace. Et pour ne rien arranger, seuls 26% des personnes interrogées pensent que les équipes informatiques sont suffisamment qualifiées.

– Les personnes interrogées estiment que les frais occasionnés par une perturbation des opérations classiques sont beaucoup plus élevés que les coûts liés à un incident touchant l’infrastructure informatique ou à un vol de données.

– Les mobiles et le BYOD inquiètent beaucoup plus que l’utilisation d’applications dans le Cloud ou de services d’infrastructures informatiques. Cependant, ces inquiétudes n’empêchent en rien l’adoption et l’utilisation intensive des appareils mobiles, en particulier les appareils personnels.

– Les doutes concernant la sécurité de l’entreprise et les menaces auxquelles cette dernière doit faire face diffèrent d’un secteur à un autre :

o Les personnes travaillant dans la finance sont plus confiants, ce qui peut s’expliquer par les nombre important d’obligations régulant la protection des données.

o Les consciences sont également plus éveillées dans le secteur technologique. Ceci s’explique par la forte expertise informatique qui préexiste dans ce domaine d’activité.

o Le commerce de détail, l’éducation, la recherche, les loisirs et les medias sont ceux qui affichent le moins de connaissances quant à la stratégie de sécurité de l’entreprise et des menaces qui pèsent sur elle.

Que recommande le rapport Ponemon ?

– Les entreprises doivent concentrer leurs efforts sur la supervision de la sécurité afin de prendre les meilleures décisions. Elles doivent à la fois porter leur attention sur la surveillance, le reporting et la détection proactive des menaces, tout en évaluant la pertinence globale de leur stratégie de sécurité.

– Il est important de mettre en place des bonnes pratiques de sécurité autour du BYOD et de la mobilité. Les entreprises doivent planifier et appliquer méticuleusement une stratégie concernant les mobiles afin que ceux-ci n’affectent pas la sécurité globale.

– Les entreprises doivent trouver des moyens de pallier le manque de professionnels de la sécurité. Il leur faut réfléchir à des façons de libérer du temps pour les collaborateurs en interne, en se tournant notamment vers le Cloud, en consultant des experts en sécurité et en mettant place des solutions simples à administrer.

– Les entreprises doivent pouvoir évaluer le coût d’une cyberattaque, notamment la perte de productivité occasionnée par une interruption de service. Il est important qu’elles collaborent avec les dirigeants afin de faire de la sécurité une priorité et qu’elles investissent dans des solutions de reprise d’activité performantes, afin de bénéficier d’un excellent ROI.

– Dans tous les secteurs, les entreprises sont piratées et la conformité aux normes est souvent le premier pas vers une protection adéquate du réseau. Il est important de mutualiser la gestion de la sécurité afin de bénéficier d’une visibilité accrue sur les menaces, ce qui permettra aux entreprises de concentrer toute leur attention sur les zones problématiques.

Le rapport de l’Institut Ponemon « Les risques d’une stratégie de sécurité mal définie » est disponible ici.

* The Risk of an Uncertain Security Strategy