Les cyberattaques sophistiquées restent imprévisibles pour plus d’un tiers des entreprises mondiales. Voilà ce qui ressort l’étude d’EY conduite au niveau mondial en matière de sécurité de l’information et intitulée ‘Creating trust in the digital world’. Plus d’un tiers (36%) des organisations mondiales n’ont toujours pas confiance en leur capacité à détecter les attaques informatiques.

L’étude, menée auprès de 1.755 organisations dans 67 pays, analyse certaines des questions de sécurité les plus significatives auxquelles les entreprises sont actuellement confrontées. Cette étude met en évidence que 88% des entreprises estiment leur structure de sécurité de l’information comme ne répondant pas totalement à leurs besoins. En ce qui concerne les budgets en matière de sécurité de l’information, 69% des entreprises concèdent qu’une augmentation allant jusqu’à 50% serait nécessaire afin d’aligner les besoins en protection de leur entreprise avec la tolérance au risque de la part de la direction.

L’origine des attaques informatiques les plus vraisemblables sont les suivantes : les syndicats du crime (59%), les hackers malveillants (54%) et enfin les groupes soutenus par des états (35%). Dans le cadre de l’étude réalisée l’an dernier, les sondés s’étaient prononcés dans les proportions suivantes au sujet de ces trois mêmes sources, à savoir 53%, 46% et 27%.

Brice Lecoustey, à la tête du département Conseil pour le secteur commercial et public chez EY Luxembourg, commente: « Les entreprises abordent le monde numérique avec enthousiasme mais se doivent également d’améliorer simultanément et significativement leur gestion des attaques informatiques toujours plus sophistiquées. Les entreprises ne devraient pas négliger, voire sous-estimer, les risques potentiels induits par des failles dans la cyber-sécurité. Au contraire, ils devraient se concentrer très précisément sur la cyber-sécurité et y consentir les investissements nécessaires. La seule façon de rendre le monde digital totalement opérationnel et durable est de permettre aux entreprises de se protéger ainsi que de protéger leurs clients et également d’instaurer la confiance à l’égard de leur marque. »

Vulnérabilités et menaces: un changement de perception

L’étude met en évidence une vulnérabilité moindre de la part des entreprises face aux attaques émanant d’employés mal informés (44%) et celles dues à l’obsolescence des systèmes (34%); en baisse en comparaison de l’étude précédente (soit respectivement 57% et 52% en 2014).

A l’heure actuelle, les entreprises se sentent toutefois davantage menacées par le phishing et les logiciels malveillants. En effet, 44% des sondés (en comparaison de 39% en 2014) ont classé le phishing comme leur menace principale, 43% considèrent les logiciels malveillants comme étant la menace principale pour leur entreprises contre 34% en 2014.
L’étude souligne également que les organisations sont prises de court quand il s’agit de contrecarrer une attaque informatique:
• 54% indiquent ne pas avoir de fonction dédiée aux nouvelles technologies et à leur incidence au sein de leur entreprise
• 47% ne disposent pas d’un centre de gestion de la sécurité
• 36% ne disposent pas d’un programme de renseignements en matière de menace et 18% ne disposent d’aucun programme de gestion de l’identité et des accès.

Plus de la moitié (57%) indique que la contribution et la valeur de la fonction de sécurité de l’information apportées à leur organisation sont compromises par le manque de talents qualifiés disponibles, ce qui était problématique pour 53% seulement des entreprises en 2014, trahissant davantage une détérioration de la situation qu’une amélioration.

Le secteur financier, entre autres, se montre particulièrement sensible à la problématique. Olivier Maréchal, à la tête du département Conseil pour le secteur financier chez EY Luxembourg, relève: « Le secteur des services financiers et le secteur technologique convergent très rapidement. Une sécurité de l’information solide est un prérequis à tout succès financier. Les dispositifs intelligents (smartphones et tablettes), les médias sociaux, le cloud ainsi que les développements induits par la réglementation tels que l’échange automatique d’information accroissent encore cette vulnérabilité. Définir la propension au risque et investir dans les bonnes lignes de défense en matière de sécurité s’imposent plus que jamais pour tous les acteurs du secteur des services financiers ».