Cyber-sécurité: quand l’ennemi et l’inconscience viennent de l’intérieur…

Pratique
Par · 19/12/2014

C’est une tradition. Sous le sapin, vous trouverez des cadeaux et des… prédictions. Ou des bilans. Ces derniers temps, plusieurs sociétés ont ainsi publié les résultats d’enquêtes dans le domaine de la sécurité informatique et de la cybercriminalité.

Nous en avons épinglé deux pour vous – celles de Ernst&Young et une autre d’Aon, société britannique de conseils en courtage d’assurances, réassurances et gestion des risques (voir note de bas de page). Certes menées à l’échelle internationale, elles comportent néanmoins quelques chiffres belges.

Ces deux études se rejoignent sur différents points. A commencer par le constat que les vulnérabilités, failles et autres dangers sont souvent liés à des manques de précautions prises vis-à-vis des utilisations que l’entreprise autorise de la part de ses employés.

En ligne de mire le fameux BYOD (“bring your own device”). Ce n’est pas tant le concept lui-même qui est visé que le manque d’encadrement que lui appliquent les entreprises. Le MDM (mobile device management) est encore chose trop rare. Résultat: la liberté de travailler sur le “device” de son choix tourne souvent à l’anarchie et à une déferlante de menaces non contrôlées.

66,2% des entreprises reprises dans l’échantillon belge d’Aon pratiquent le BYOD (les champions européens, en la matière, sont l’Italie, le Royaume-Uni et la France qui dépassent tous trois les 70%).

La prise de conscience du risque ne semble pourtant pas encore optimale. Du moins si l’on en croit les chiffres d’Aon.

Au cours de ces 12 derniers mois, 36,8% des entreprises belges interrogées par Aon, avouent avoir été victimes d’une “fuite” de données ou d’une “importante défaillance de systèmes”. 66,7% des sociétés interrogées estiment s’exposer à des dommages “importants” en cas de défaillance système de plus de 6 heures.

Au rayon protection classique (antivirus, pare-feu, anti-malware), les entreprises belges obtiennent une bonne note globale: 86,6%.

Côté mesures plus strictes par contre – notamment via recours à des techniques de chiffrement -, seules 36,5% des entreprises belges interrogées reconnaissent qu’il leur faut mieux “verrouiller” les supports mobiles. Mais, constate l’étude, la conscientisation n’est guère plus accentuée dans d’autres pays. La Belgique est même troisième du classement pour la zone Europe occidentale. Seuls donc deux pays font mieux: Irlande (61,1%) et Royaume-Uni (57,3%). Le n° 4 – les Pays-Bas – est déjà largement à la traîne avec seulement 26,6%.

Par ailleurs, la sécurité informatique n’est que rarement portée à l’ordre du jour des conseils d’administration. Voir le tableau ci-dessous.

Suivi continu des risques de cybersécurité en réunions du conseil d’administration
À peine un conseil d’administration belge sur quatre se montre actif en cas d’incident de cyber-sécurité.

Ce qui amène les responsables de l’étude Aon à déclarer: “force est de constater que les récentes menaces sur la cyber-sécurité et les dommages qui en résultent sur le plan financier, mais aussi en matière de dégradation de l’image, ne sont pas encore suffisamment répercutées au sein des salles de conseil.”

La société de conseil souligne en outre les risques accrus que fait peser sur l’accès et l’exploitation des données de l’entreprise le phénomène grandissant de l’externalisation d’activités et de tâches (gestion des salaires, solutions IT…). “Les entreprises doivent être conscientes que cette externalisation comporte un risque supplémentaire et que le fait de confier des données à des tiers ne les exonère pas de leur devoir de diligence ou de leur responsabilité à l’égard de ces données.

Mal préparées

Pas moins de 75 % des entreprises belges ayant participé à l’enquête d’Ernst & Young se disent “de plus en plus exposées aux cyberattaques” mais, dans le même temps, avouent ne pas être (ou peu) en mesure d’y faire face en renforçant leurs mesures et dispositifs de sécurité.

58% se plaignent d’un budget insuffisant. 49% ajoutent qu’elles ne voient pas d’amélioration possible à court terme, leur budget sécurité ne devant pas être revu de manière significative dans les 12 mois à venir. Il y a un an, la même enquête Ernst & Young avait établi que 52% des entreprises opéraient “à budget gelé.” L’amélioration est sans doute beaucoup trop minime pour pouvoir parler de tendance…

Respectivement 49% et 44% des sociétés sondées disent par ailleurs ne pas avoir les capacités de vigilance ou les compétences adéquates pour faire front en raison d’un manque de profils spécialisés.

67% ne peuvent pas s’appuyer sur des informations temps réel à propos de leur situation (exposition) aux cyber-menaces. Plus de 75% avouent “ne pas être en mesure de détecter une cyber-attaque élaborée.”

D’où viennent les risques et menaces selon les responsables interrogés?

– 60% cochent la case collaborateurs

– 58% pointent des “pirates isolés”

– 53% soupçonnent des organisations criminelles.

L’étude d’Aon, pour sa part, confirme – cela n’étonnera personne – que les entreprises sont de plus en plus exposées aux vols de données et “sabotages” (terme fourre-tout qui englobe les attaques informatiques malveillantes). Sources de cette vulnérabilité accrue: “l’interconnexion numérique des entreprises, de leurs fournisseurs et clients, la prépondérance croissante de l’informatique dans le cloud et l’espionnage financé par les États.”

(1) E&Y: Global Information Security Survey annuelle d’EY, Get Ahead of Cybercrime. 1.825 entreprises interrogées dans 60 pays, dont 45 en Belgique.

Aon Cyber Diagnostic Tool 2014. Cet “outil de cyber-diagnostic” s’appuie sur des questions à choix multiples afin d’analyser, d’une part, la manière dont les entreprises utilisent la technologie et, de l’autre, l’attitude du conseil d’administration faces aux risques de cyber-sécurité. Il a pour but d’“aider les gestionnaires lors de l’identification des risques de cyber-sécurité et de leur permettre de mieux comprendre leur exposition à ces risques.”  [ Retour au texte ]