Cybersécurité : des entreprises moins matures qu’elles n’aiment l’affirmer

Les affirmations martiales de responsables de la communication soulignant l’irréprochable sérieux avec lequel leur entreprise appréhende sécurité et confidentialité, ou l’incomparable robustesse de leurs systèmes face aux attaques, est régulièrement moqué par les experts. Mais comment quantifier le décalage entre la réalité et sa représentation ? CyberVadis, spécialiste de l’analyse du risque présenté par les tiers, s’est penché sur la question.

Pour cela, l’éditeur s’est penché sur les entreprises participant à sa plateforme – il revendique notamment plus de 300 multinationales parmi ses clients entreprises. Et les résultats ne surprendront probablement pas beaucoup.

Ainsi, selon l’étude de CyberVadis, 94 % des entreprises déclarent avoir formalisé une politique de sécurité de l’information… quand seulement 74 % l’ont effectivement fait. Le processus de provisionnement et de déprovisionnement des droits des utilisateurs ? Il est là, selon 80 % des sondés. Mais ce n’est véritablement le cas que pour 62 %.

Près de 6 sondés sur dix assurent réaliser des tests réguliers de restauration et d’intégrité de leurs sauvegardes. Cela peut déjà sembler peu, mais la réalité apparaît bien pire : ce n’est véritablement le cas que pour 19 % des entreprises considérées. Pour les plans de continuité de l’activité, ce n’est guère mieux, avec un écart de 42 points entre affirmatif et réel : 73 % des sondés se donnent une image de bon élève. L’écart s’avère tout aussi préoccupant pour le chiffrement en interne (70 % pour l’affirmative, contre 27 % constatés), ou encore la gestion des relations partenaires : 46 % assurent s’être intéressés à leur posture de sécurité, quand 8 % seulement sont capables d’en faire la démonstration. Et pour la journalisation des activités des utilisateurs ? 76 % des entreprises considérées indiquent y procéder, alors que cela n’apparaît être effectivement le cas que pour 30 %.

CyberVadis avance deux explications pour ces écarts : l’absence de culture de la sécurité de l’information, ou bien « le manque de spécialistes pour comprendre correctement les contrôles de sécurité de l’information ».

Surtout, pour CyberVadis, ces écarts soulignent « le manque de couverture du risque dans une stratégie qui s’appuie sur du déclaratif ». Et l’on pense tout naturellement là au monde de l’assurance, notamment, où le profil de risque des clients est fréquemment établi sur la base d’un simple questionnaire, comme l’indiquait ainsi Generali au lancement de son offre pour TPE et PME.

Le sujet n’est en fait pas nouveau. L’an dernier, la fédération française de l’assurance rappelait à quel point l’évaluation du risque constitue un casse-tête. Allianz s’est associé les services Cyence pour tenter de mieux connaître la posture de sécurité réelle de ses prospects et clients. Axa a quant à lui misé sur SecuritySecorecard. Cyrating ou encore Weakspot s’attèlent également au problème. Alors sans surprise, même si elle est largement controversée, la notation de la posture de sécurité apparaît appelée à se développer.

Car le besoin de connaissance du risque et du coup, de la menace apparaît important. Citalid vient d’ailleurs de lever 1,2 M€, notamment pour étendre les cas d’usage de sa technologie avec, en particulier, le monde de l’assurance cyber.