Les trois quarts sont exposés à des risques informatiques accrus
Une nouvelle étude RSA montre que les stratégies de sécurité de la plupart des organisations restent lacunaires. Près de la moitié des entreprises ne seraient pas en mesure d'évaluer, de cataloguer ou de réduire les risques informatiques, ou seulement au cas par cas.
Environ trois quarts des programmes de sécurité informatique dans les entreprises et les administrations présentent encore des lacunes critiques. C'est ce que révèle le dernier "Cybersecurity Poverty Index Report" publié RSA a récemment publié. Selon le rapport de la filiale d'EMC, c'est surtout la capacité à réagir rapidement aux incidents de sécurité qui fait défaut : Près de la moitié des organisations étudiées ont décrit leur propre "Incident-Response" comme "ad-hoc" ou même "inexistante" - parmi elles, de nombreux exploitants d'infrastructures critiques.
Autres résultats clés du rapport : Les organisations informatiques qui investissent de manière ciblée dans des technologies de détection et de limitation des attaques obtiennent souvent une meilleure protection que celles qui dépensent principalement dans des technologies de prévention (par exemple dans des pare-feu). De plus, de nombreuses entreprises n'investissent davantage dans la sécurité informatique qu'après avoir été victimes d'une attaque préjudiciable à leur activité. Cependant, beaucoup d'entre elles ne parviennent pas à améliorer leurs propres programmes de protection parce qu'elles ne comprennent pas exactement comment les risques informatiques affectent leur entreprise.
Seul le 7% avec une très bonne protection
Le rapport montre un lien clair entre la capacité à remarquer des attaques et le niveau de maturité de la sécurité informatique : les entreprises qui enregistrent fréquemment des irrégularités ou des attaques dans leur environnement informatique ont 65-%iger de chances de disposer de stratégies et de technologies de sécurité informatique avancées, voire très avancées.
Mais comme le montre également le rapport, le nombre de ces entreprises reste faible, même s'il semble augmenter : la part des environnements informatiques très bien protégés dans l'échantillon total était de 7,4% (édition du rapport de l'année précédente : 4,9%). En revanche, le nombre de personnes interrogées qui considèrent que leur propre entreprise est concernée par les risques informatiques reste élevé : environ 75% des participants à l'enquête ont donné une estimation en ce sens.
Souvent, la capacité à établir des priorités fait défaut
Cela pourrait être lié au fait que de nombreuses entreprises ont du mal à prendre des mesures de sécurité proactives : 45% des personnes interrogées ont indiqué que leur organisation n'était pas du tout en mesure, ou seulement au cas par cas, de cataloguer, d'évaluer ou de réduire les risques informatiques ; seuls 24% des participants à l'enquête ont estimé que leurs capacités informatiques étaient avancées dans ce domaine.
C'est surtout l'incapacité à définir des valeurs et des seuils de tolérance précis pour certains risques qui rend difficile pour les responsables la priorisation des investissements ou des contre-mesures - alors que c'est l'une des conditions essentielles de la sécurité informatique dans l'entreprise.
La région EMEA à la pointe de la sécurité
Comme l'édition de l'année précédente, le rapport montre que les difficultés décrites concernent aussi et surtout les exploitants d'infrastructures critiques. Les autorités et autres entreprises publiques ainsi que les fournisseurs d'énergie ont même obtenu les plus mauvais résultats dans la comparaison des degrés de maturité en matière de sécurité informatique : Seules 18% des entreprises de ce groupe estiment que leurs propres programmes de sécurité sont avancés ou très avancés.
Les entreprises du secteur financier ne semblent pas beaucoup mieux équipées : bien qu'elles soient souvent décrites comme des leaders en matière de sécurité informatique, seuls 26% des prestataires de services financiers interrogés ont atteint l'un des deux niveaux de maturité supérieurs parmi les cinq - une baisse considérable par rapport à la valeur de 33% de l'année précédente. A titre de comparaison, parmi les entreprises de l'industrie aérospatiale et de la défense étudiées, 39% disposent tout de même de programmes de sécurité avancés ou très avancés.
Les pays de la région EMEA (Europe, Moyen-Orient et Afrique) sont en tête de la comparaison des régions du rapport, avec 29% d'entreprises et d'administrations ayant atteint un niveau de maturité avancé ou très avancé en matière de sécurité informatique. La deuxième place est occupée par les pays de la région Asie-Pacifique, y compris le Japon, avec 26%, la dernière étant la région Amériques avec 23%. Alors que la région EMEA s'est améliorée de trois points de pourcentage et d'une place par rapport à l'année précédente, la région APJ a perdu 13 points et a donc reculé à la deuxième place. texte : RSA
À propos de l'étude : Pour le "Cybersecurity Poverty Index Report", des professionnels de l'informatique et de la sécurité de 878 entreprises, 24 secteurs et 81 pays ont été invités à évaluer le degré de maturité de leur organisation en matière de sécurité informatique. L'auto-évaluation a été effectuée selon les compétences de base "Identify", "Protect", "Detect", "Respond" et "Recover" définies dans le "NIST Cybersecurity Framework" (CSF). Les participants ont évalué le niveau de maturité de chaque capacité de leur organisation sur une échelle de cinq points (1 = "capacité inexistante", 5 = "capacité à un niveau très avancé").
