Cybersécurité : une motivation plus grande côté attaque que défense

La bonne nouvelle, c’est que les entreprises semblent prendre de plus en plus au sérieux le risque représenté par les attaques informatiques. Plus de 75 % des 800 professionnels de la sécurité sondés par Intel Security placent ce risque en première position pour leurs entreprises, devant le risque réglementaire, le risque financer ou le risque politique, entre autres. L’éditeur, qui se prépare à retrouver son nom de McAfee, souligne que « il y a six ans, la cybersécurité ne comptait même pas parmi les dix principaux risques considérés en priorité par les conseils d’administration ». Aujourd’hui, 72 % des sondés assurent que leur conseil d’administration est informé sur les risques cyber « à presque toutes voire toutes les réunions ».

Mais le chemin apparaît encore long pour améliorer réellement la posture de sécurité des entreprises et leur permettre de réduire l’avantage dont profitent les attaquants. A compter que ce soit véritablement possible.

Ainsi, Intel Security souligne une déconnexion entre stratégie et mise en œuvre. Les dirigeants apparaissent ainsi estimer que leur stratégie de sécurité se concentre plus sur les menaces nouvelles que sur les menaces existantes. Un point de vue inverse de celui des opérateurs chargés de la mise en œuvre de la stratégie. En outre, si plus de 55 % des dirigeants estiment que celle-ci est pleinement mise en œuvre au sein de leur organisation, ce n’est le cas que pour moins de 45 % des opérateurs. Et les divergences ne manquent pas non plus sur les indicateurs devant permettre de mesurer l’efficacité des défenses au sein de l’organisation. Quoique : dirigeants et opérateurs s’accordent au moins sur la pertinence de l’un deux ; le nombre de brèches.

Mais pour Intel Security, les professionnels de la sécurité manquent d’encouragement : près de 30 % des opérateurs estiment qu’il n’y en a aucun, quand près de 60 % des dirigeants font état de « reconnaissance ou récompense », voire de bonus – que seuls un peu plus de 35 % des opérateurs mentionnent.

En fait, pour l’éditeur, les écarts entre dirigeants et professionnels chargés de l’implémentation de la sécurité pénalisent les entreprises face aux attaquants. Et c’est sans compter avec le fait que « les motivations des attaquants sont définies par un marché fluide, décentralisé, les rendant agiles et rapides à s’adapter, tandis que les défenseurs sont contraints par la bureaucratie et des mécanismes de prise de décision top-down ».

Intel Security estime toutefois possible pour les entreprises d’apprendre du marché noir du piratage. Et cela passe par cinq propositions. Comme les cyberdélinquants passent en mode service, les entreprises devraient externaliser une partie de leur sécurité pour réduire leurs coûts et adopter plus vite de nouvelles technologies et pratiques de sécurité. Et puisque les pirates visent des vulnérabilités connues, les entreprises devraient améliorer leurs pratiques de gestion des correctifs. S’inspirant encore des pirates qui échangent sur des forums ouverts, les défenseurs devraient partagent plus d’informations et collaborer plus étroitement. Et puis, les entreprises devraient chercher à réduire les barrières à l’entrée pour le recrutement d’acteurs de leur défense, et améliorer les incitations à la performance pour leurs salariés.