Cyber-résilience : les entreprises peuvent encore (bien) mieux faire

Des préoccupations nombreuses

Faut-il y voir l’effet de la multiplication des rançongiciels ou des arnaques et attaques par hameçonnage plus ou moins ciblé ? Quoiqu’il en soit, 55 % des sondés estiment que le manque de prudence ou de sensibilisation des utilisateurs qui a fait progresser leur exposition au risque au cours des douze derniers mois. Devant des architectures ou des contrôles de sécurité dépassés (48 %) ou un contrôle des accès inapproprié (54 %). Et phishing et logiciels malveillants sont identifiés comme principales menaces (51 % et 52 % respectivement), loin devant les attaques internes, mais également les attaques externes visant à voler des données, des informations financières ou de la propriété intellectuelle.

Et les sondés sont sévères dans leur appréciation de leurs capacités à résister à des attaques : seulement 29 % estiment que leurs processus de sécurité applicative sont matures, contre 38 % pour la supervision de la sécurité, 38 % pour la gestion d’incidents, et autant pour celle des identités et des accès. C’est la sécurité réseau qui tire son épingle du jeu, avec 52 % de sondés estimant là leurs processus matures. Mais pour EY, « les niveaux de maturité sont encore trop bas dans de nombreux domaines critiques ».

Budgets et compétences restent des obstacles

Les contraintes budgétaires et le manque de ressources qualifiées continuent d’être mentionnées comme premières limites à l’amélioration de la posture de sécurité, citées respectivement par 61 % et 56 % des sondés. Pour autant, plus de la moitié des sondés indiquent que leurs budgets sécurité ont progressé au cours des 12 derniers mois. Mais 86 % des sondés estiment qu’ils auraient besoin de beaucoup plus… jusqu’à 50 % de plus que leur budget actuel.

EY indique que « seulement 64 % dépensent aujourd’hui moins de 2 M$ » chaque année pour leur cybersécurité, et qu’il y a eu « une augmentation du nombre d’organisations dépensant entre 10 et 50 M$.

Mais ce n’est pas tout. Avec toujours environ un tiers de sondés déplorant un manque de soutien de leur direction, l’efficacité des initiatives de cybersécurité peut être pénalisée. Au passage, on relèvera que 75 % des sondés ne sont pas membres du conseil d’administration.

Reste que l’information des directions semble encore insuffisante pour véritablement les impliquer : selon EY, seulement 25 % des sondés communiquent sur un niveau de menace global, et 35 % sur les améliorations nécessaires. Pire : 89 % des organisations n’évaluent pas l’impact financier de tous les incidents significatifs, et 49 % n’en ont pas la moindre idée.

Former et sensibiliser

Au cours des 12 prochains mois, les sondés prévoient en priorité d’investir pour renforcer leurs capacités de continuité de l’activité et leur résilience en cas d’incident, mais également de prévention des fuites de données. La sensibilisation et la formation à la sécurité informatique arrivent en troisième position. 49 % des sondés prévoient d’ailleurs de dépenser plus dans ce domaine. SIEM et SOC arrivent en seconde position des accroissements budgétaires – cités par 46 % des sondés. Pour autant, ils n’arrivent qu’en sixième position des priorités à venir, derrière la gestion des identités et des accès, mais devant les capacités de réponse à incident.

D’ailleurs, la préparation à réagir semble encore limitée. Ainsi, 42 % des sondés indiquent ne pas avoir de plan de communication prêt en cas d’incident. Près de la moitié assurent toutefois que leurs clients ne seraient pas informés, même si certaines de leurs données sont concernées. Et 56 % laisseraient également leurs fournisseurs dans l’ignorance, même si leurs données sont compromises. En fait, pour EY, la réaction à incident « est le domaine où il y a encore le plus de travail à fournir ».