Cybersécurité : la lutte s’organise mais l’humain reste faible

Par Yves Grandmontagne - 

22/01/2018

 

La dernière étude Deloitte sur les grandes tendances de la cybersécurité affiche une hausse des attaques, un risque humain qui demeure fort chez les collaborateurs, une évolution de la gouvernance et l’émergence des assurances cyber.

Voilà plusieurs mois que nous l’avons détecté et que nous l’affirmons – nous en reparlerons dans les prochains jours, IT Social sera présent au FIC - l’année 2017 aura été une année charnière qui aura été marquée par une prise de conscience des nouvelles menaces et du rôle essentiel des RSSI et responsables sécurité, ainsi qu’une évolution sensible du positionnement de ces derniers dans l’entreprise.

Lire : « Le RSSI monte enfin en puissance, la principale tendance des Assises de la Sécurité ».

Une étude publiée par Deloitte vient aujourd’hui confirmer notre vision. Sous l’effet des attaques massives et mondiales qui ont défrayé la chronique et de l’intensification de la réglementation, en particulier le RGPD et la DSP2 (finance), la cybersécurité, sécurité du numérique et de l’Internet, devient une composante à part entière des organisations.

Nouvelles stratégies

C’est ainsi que ces dernières ont adopté à 75%, après Wannacry et Petya, de nouvelles mesures de sécurité :

  • 56% - la formation et la sensibilisation des collaborateurs ;
  • 35% - une nouvelle organisation avec la nomination de responsables (RSSI, CIL, DPO) ;
  • 31% - une nouvelle politique de gestion des habilitations et des accès ;
  • 16% - le chiffrement des données (16%).

Nous reviendrons demain sur une partie de ces points avec Olivier Ligneul, RSSI et CTO d’EDF, qui nous a accordé une interview en marge de la publication du baromètre du CESIN.

Règlementations et cyber-assurances

Revenons un instant sur le RGPD. Selon Deloitte, 91% des entreprises interrogées ont initié des actions pour s’y conformer. Le chiffre est important, on ne peut que s’en féliciter après l’accumulation de retards et à quelques semaines de l’échéance fixée par l’Europe. L’étude ne dit rien cependant de l’étendu de l’engagement…

Autre phénomène encore marginal, mais qui devrait prendre de l’ampleur dans les prochaines années, la cyberassurance. La question émerge, 24% seulement des entreprises ont souscrit à une assurance en lien avec les cyber-risques. Selon le CESIN, ce chiffre serait nettement supérieur dans les grandes entreprises françaises.

Deux domaines sont couverts par les assurances, la réponse à incident et la couverture des éventuels dommages. Là encore nous reviendrons sur ce sujet qui devient essentiel. Les options de couverture des risques concernent :

  • 42% - la perte de données personnelles ;
  • 32% - la protection de la propriété intellectuelle ;
  • 24% - les virus et ransomwares ;
  • 20% - l’image de marque de l’entreprise ;
  • 15% - l’incident de sécurité.

L’humain, indécrottable maillon faible

Point important sur un état de fait largement reconnu, mais sur lequel les entreprises commencent enfin à réagir et à s’interroger : selon Deloitte, 63% des incidents de sécurité sur le système d’information – erreur ou action malintentionnée - proviennent d’un collaborateur actif au sein des effectifs.

Sont cités en cause de ce phénomène les droits d’accès étendus non nécessaires, le manque de sécurité des actifs critiques, le manque d’expertise interne, la faible disponibilité des experts, et le manque de formation.

Et Deloitte de pointer les actions qui peuvent être mises en place :

  • 81% - la création d’une fonction de type RSSI transverse à l’ensemble de l’organisation, qui sera responsable des programmes en lien avec la sécurité ;
  • 59% - l’adoption d’un dispositif de gestion du risque cyber par l'intermédiaire d'un cadre de type ISO 27001.

A l’attaque !

Terminons en citant ce chiffre qui ne cesse de se répéter et qui vient confirmer l’étendue de la menace : 71% des entreprises interrogées confirment la hausse du nombre de cyberattaques dont elles font l’objet.

 

Yves Grandmontagne Directeur des Publications, IT Social