Les entreprises suisses sont plus enclines à payer une rançon

L'enquête actuelle montre que, par rapport à l'année dernière, les entreprises suisses sont plus nombreuses à payer une rançon aux pirates en cas d'incident de sécurité plutôt que d'investir davantage dans la sécurité de l'information, car elles estiment qu'une telle approche est plus rentable : L'année dernière, 23% des décideurs interrogés ont déclaré préférer répondre aux exigences des pirates en cas d'attaque par ransomware, et cette année, ils sont même 40%. Cela est en corrélation avec l'affirmation selon laquelle 44% des entreprises suisses préfèreraient payer une rançon plutôt qu'une amende pour ne pas avoir respecté les lois et directives en vigueur. "Ce résultat est plus qu'effrayant, surtout si l'on considère que le risque d'attaques par ransomware ne diminue pas", explique Kai Grunwitz de NTT Security. "Si les entreprises s'attendent à des avantages financiers en payant une rançon, c'est à nos yeux plus que trompeur. Et le réveil brutal viendra tôt ou tard pour beaucoup".

Être conscient du danger imminent

Les entreprises sont pourtant bien conscientes du danger qui les menace : selon les décideurs interrogés, le cloud (24%), BYOD (20%), les ransomwares (18%) et l'IoT (12%) représentent une menace potentielle au cours des 12 prochains mois. Près des deux tiers craignent toutefois que la faille de sécurité soit interne à l'entreprise : Les menaces internes malveillantes telles que le vol de données (30%), les failles de sécurité accidentelles ou dues à la négligence (28%), mais aussi le Shadow IT (16%) et le phishing (36%) sont considérés par les personnes interrogées comme un risque potentiel pour la sécurité.

Il n'est guère surprenant que seuls 42% des entreprises disposent déjà d'un plan de réponse aux incidents ; selon l'étude, 38% sont tout de même en cours de mise en œuvre et 10% supplémentaires prévoient de mettre en œuvre des mesures correspondantes dans un avenir proche (cf. figure 1). "Au cours des dernières années, peu de choses ont changé dans les entreprises en ce qui concerne le plan de réponse aux incidents, malgré les nombreux incidents de sécurité connus et le potentiel de dommages en constante augmentation. Bien que seuls des plans de déroulement et d'urgence dédiés permettent de réagir de manière appropriée et rapide aux incidents de sécurité informatique, moins de la moitié des entreprises interrogées disposent encore d'un plan de réponse aux incidents", résume Grunwitz. "Même le nombre élevé et réjouissant d'implémentations en cours et de projets en cours de planification est décevant si l'on y regarde de plus près : les études passées montrent clairement qu'elles ne sont souvent motivées que par la conformité et restent de pures déclarations d'intention qui n'entraînent pas d'amélioration significative de l'Incident-Response-Readiness des entreprises l'année suivante - seuls quelques-uns de ces projets Incident-Response sont mis en œuvre avec succès. C'est pourquoi la collaboration avec un partenaire expérimenté en matière de réponse aux incidents est vivement recommandée".

Seule la moitié a des politiques de sécurité

La situation n'est pas meilleure en ce qui concerne les politiques de sécurité. Seule la moitié environ des entreprises (48%) ont mis en place des politiques de sécurité complètes. Cependant, 21% n'ont pas informé activement leurs employés de ces directives. "Il est indispensable de former suffisamment les employés sur les dangers et la manière de les gérer correctement - d'autant plus que les attaques d'ingénierie sociale sont de plus en plus populaires. Chaque collaborateur devient rapidement une faille de sécurité s'il n'a pas une très bonne sensibilisation à la sécurité. Des formations de sensibilisation spécifiques à l'entreprise peuvent les sensibiliser à cette thématique et leur offrir une sécurité dans la gestion des incidents correspondants", souligne Grunwitz.

L'échange au sein de l'entreprise sur le thème de la sécurité doit en général augmenter de manière significative : Seuls 66% des décideurs interrogés ont déclaré être au courant des attaques, des attaques potentielles et de la conformité dans leur entreprise. Ceci est en corrélation avec l'affirmation selon laquelle la sécurité n'est un point régulier de la réunion du conseil d'administration que dans 68% des entreprises. De plus, le fait que 46% aient déjà été touchés par un incident de sécurité, mais que 42% des personnes interrogées pensent ne jamais se retrouver dans cette situation, souligne qu'elles doivent être encore plus conscientes du danger. Enfin, les entreprises interrogées sont tout à fait conscientes des graves conséquences négatives d'un incident de sécurité avec vol de données : perte de confiance des clients (42%), atteinte à la réputation (38%) et pertes financières (36%).

*Le " annuelRapport Risk:ValueLa société d'études de marché Jigsaw Research réalise l'enquête "IT Security" pour le compte de NTT Security. Pour ce faire, des cadres du monde entier - 2'256 cette année - donnent leur avis sur des thèmes liés à l'informatique et à la sécurité informatique.