Étude PwC : le cybercrime est une affaire de chef
PwC a publié les résultats de sa 19e étude mondiale sur la criminalité économique.
Les chiffres de l'étude "Enquête mondiale sur la criminalité économique" de PwC ont tout à fait le potentiel d'attirer l'attention des dirigeants de niveau C et des actionnaires, comme le montrent les exemples suivants PwC écrit. Selon l'étude, environ 50 des entreprises interrogées ont déclaré avoir perdu plus de cinq millions de dollars US ; près d'un tiers d'entre elles ont chiffré les pertes liées à la cybercriminalité à plus de 100 millions de dollars US. L'étude a été menée auprès de plus de 6000 cadres, principalement des cadres supérieurs et des directeurs d'unités commerciales.
Cybercriminalité et préjudice économique
Le résultat le plus important de l'étude PwC de cette année est que la cybercriminalité se place désormais en deuxième position dans la liste globale des crimes économiques contre les entreprises. La première place est occupée par une forme plus traditionnelle d'appropriation illicite d'actifs : le vol d'argent.
L'enquête menée auprès des PDG a révélé que 61 % d'entre eux sont préoccupés par la cybersécurité. Les cadres supérieurs ressentent donc les effets du piratage et de la cyberactivité, qui ont fortement augmenté ces dernières années.
Réaction insuffisante
Le rapport de PwC contient toutefois aussi quelques statistiques décevantes sur la manière dont les entreprises gèrent la cybercriminalité. Seules 37 % des personnes interrogées disposaient d'un plan de réponse complet aux incidents. L'un des problèmes de la mise en œuvre de ces plans est le manque de personnel. Seuls 40 % des participants à l'étude disposent d'une équipe de réponse formée pour les cas d'urgence.
Ce qui est peut-être encore plus frappant, c'est le manque de cadres informatiques à l'étage du conseil d'administration pour faire face aux attaques et à leurs conséquences potentielles. Dans moins de la moitié des cas, les équipes d'intervention d'urgence comprenaient des responsables informatiques, généralement des membres de la direction (46 %), des juristes (25 %) et des employés des ressources humaines (14 %).
Selon PwC, les plans d'urgence qui ne sont pas coordonnés de manière optimale entre tous les acteurs concernés, y compris l'informatique, "peuvent limiter la capacité des entreprises à couvrir l'ensemble des domaines concernés, ce qui est particulièrement important compte tenu des méthodes de diversion fréquemment utilisées par les pirates".
Selon PwC, si l'expertise nécessaire fait défaut ou si le service informatique n'est pas impliqué dès le départ, il est fort possible que les informations médico-légales soient négligées, voire perdues.
Véritable défense
PwC ne mâche pas ses mots en ce qui concerne les réponses insuffisantes aux cyber-menaces : les organisations ne répondent tout simplement pas aux exigences de base ! Parmi les failles de sécurité les plus connues exposées par PwC, on trouve de mauvaises configurations de systèmes, des contrôles insuffisants et d'autres "erreurs évitables". Dans le monde de la sécurité informatique, on commence généralement par mettre en œuvre des mesures simples telles que des mots de passe utilisateur plus longs, de meilleurs contrôles pour les comptes privilégiés et des exigences plus strictes pour l'accès aux fichiers.
Le rapport de PwC montre clairement que ceux qui négligent les bases sont punis par des dommages économiques réels. PwC recommande une stratégie de cybersécurité à plusieurs niveaux, soutenue par le conseil d'administration (et même par le conseil de surveillance), des analyses de risques et des audits informatiques plus stricts, ainsi que la mise en place d'un système de gestion de la cybersécurité. des processus de surveillance efficaces.
Que faire ?
Les recommandations de PwC ne nous sont que trop familières, grâce à l'expérience d'experts en sécurité travaillant depuis longtemps. Une meilleure analyse des risques, une meilleure protection des données et une meilleure surveillance sont des choses que nous prônons depuis la création de notre entreprise. Mais contrairement à tous les autres fournisseurs de sécurité, nous sommes convaincus que ces approches ne peuvent pas être mises en œuvre dans le cadre de la sécurité des données. Système de fichiers doivent être mises en œuvre.
Aujourd'hui, la plupart des incidents de sécurité impliquent le vol de données non structurées. Presque tous les jours, des violations graves de la protection des données sont signalées, au cours desquelles des mots de passe, des données de cartes de crédit ou des adresses électroniques ont été dérobés alors qu'ils étaient stockés dans des fichiers non cryptés. Dans de nombreux cas, il est facile pour les pirates de contourner les défenses extérieures à l'aide de l'hameçonnage ou de l'injection SQL. Une fois qu'ils ont pénétré dans un système, ils disposent d'un accès complet à ces données sensibles réparties sur l'ensemble du système de fichiers.
L'étude de PwC montre clairement que ces données sont précieuses pour les pirates, qu'il s'agisse de données personnelles qui se vendent bien ou de propriété intellectuelle dont le vol peut signifier la fin d'une entreprise. Les entreprises analysent généralement leurs réseaux pour détecter des activités inhabituelles ou des virus connus. Cependant, elles ne sont généralement pas en mesure de détecter la dernière génération de logiciels malveillants avec des fonctions de camouflage sophistiquées ou les nouveaux exploits encore plus menaçants qui n'ont pas besoin de logiciels malveillants. Lorsqu'il s'agit de protéger les données non structurées, on trouve donc chez de nombreuses entreprises un point aveugle important et extrêmement coûteux.
PwC recommande d'analyser les systèmes de fichiers à la recherche d'activités inhabituelles. Mais c'est plus facile à dire qu'à faire. Le remède peut être la Analyse du comportement des utilisateurs: Ici, l'activité des fichiers et les comportements normaux des utilisateurs sont observés afin de détecter les événements inhabituels.
Cela permet d'enregistrer les activités de piratage des agresseurs qui se sont introduits dans le système, de repérer les collaborateurs malveillants et d'atténuer ainsi le risque pour les données. D'un point de vue pratique, les résultats de l'enquête de PwC sont tout à fait favorables à la sécurité des données dans les entreprises. En effet, les CEO et autres cadres de niveau C considèrent désormais la cybercriminalité comme un sujet stratégique qui nécessite des ressources considérables : personnel, planification et ressources financières.
Comme de nombreux autres groupes et instituts du secteur de la sécurité - par exemple le NIST et le Institut SANS - nous sommes d'accord avec PwC sur un point en particulier : la surveillance est la clé de la sécurité dans le monde réel. Il est possible que les pirates informatiques ne puissent jamais être empêchés de pénétrer dans les réseaux. Vous pouvez consulter le site peut Toutefois, limiter les dégâts et, en fin de compte, réduire considérablement les coûts des incidents de sécurité dans les entreprises.
Communiqué de presse PwC
