· Les tests d'intrusion plébiscités par 96% des entreprises comme principal moyen de préparation.
· Seul 15% des entreprises ne disposent pas d'outils de détection, néanmoins les utilisateurs n'y sont pas suffisamment impliqués, la majorité d'entre eux (52%) n'y ayant pas accès.
· Des moyens de réaction trop faibles : D'un point de vue RH,83% des entreprises n'ont pas d'équipe dédiée aux cyber-attaques, mais également au niveau pratique : 58% ne définissent pas de processus de notification en cas de cyber-attaque.
· 59% des sondés ne définissent pas de processus permettant de prendre en compte les aspects juridiques et assurantiels suite à une cyber-attaque.
· Si 61% des entreprises réalisent des campagnes de sensibilisation auprès des collaborateurs, moins d'un quart (20%) d'entre elles les implique dans les plans de réaction.
· Les entreprises sont aujourd'hui conscientes de la réalité du risque de cyber-attaque. Néanmoins, elles manquent de préparation pour faire face à une situation qui est passée du statut de « possibilité technique » à « quasi-certitude statistique ».

Boulogne-Billancourt - Le 20 novembre 2013. Provadys, cabinet de conseil en technologies de l'information, présente dans son dernier ouvrage un compte rendu et une analyse critique des résultats d'une enquête menée cet été en partenariat avec le CESIN, Club des Experts de la Sécurité de l'Information et du Numérique.

Principaux enseignements de l'enquête :

Les entreprises ont globalement conscience de leurs vulnérabilités et faiblesses face au scénario de cyber-attaque
Cette prise de conscience trouve sa source dans le nombre croissant d'entreprises victimes de cyber-attaque : une sur deux (52%) déclare, en effet, avoir été affectée par ce type d'incident lors de trois dernières années. Mais aussi par le fait qu'elles se considèrent (à 88%) comme des cibles potentielles.

Elles s'estiment théoriquement préparées au risque de cyber-attaque...
En effet, elles intègrent dans leur majorité (60%) ce scénario dans leur processus de gestion de crise et (62%) mettent en place des moyens spécifiques dédiés à la prise en compte de cette menace.

Par ailleurs, pour renforcer leur volonté de se préparer face a ce risque, elles s'investissent massivement (96%) dans la réalisation de tests de pénétration et d'intrusion sur leurs sites les plus sensibles ; et intègrent, pour 81% d'entre elles, le scénario decyber-attaque dans ces mêmes tests.

... Cependant, elles manquent de maturité pour y faire face
Le risque de cyber-attaque n'est pas suffisamment pris en compte au niveau des composants sensibles des SI. Près des trois quart (71%) des entreprises déclarent ne pas disposer d'une cartographie de leurs SI organisée selon le niveau d'exposition au risque de cyber-attaque.
Un constat également observé dans leurs relations avec les prestataires et fournisseurs, dont elles ne connaissent pas, dans 63% des cas, leur plan de réponse face à ce type d'attaques.

Les entreprises disposent aujourd'hui d'outils techniques de détection...
Pourtant, l'étude démontre que ces outils ne sont pas utilisés à leur plein potentiel.
En effet, ils ne sont pas régulièrement, voir pas du tout réévalués en termes d'efficacité chez 43% des sondés, et ne gagnent pas suffisamment en maturité. Un chiffresurprenant quand on connaît la rapidité avec laquelle les menaces évoluent.
De la même manière, les utilisateurs ne sont à ce jour pas suffisamment impliqués dans les stratégies et moyens de détection : 53% des entreprises ne leur donnent pas de moyens pour détecter et/ou remonter une attaque. Il en résulte que les capacités de détection sous optimales.

... En revanche, elles ne sont pas suffisamment armées en termes de moyens de réaction...
D'un point de vue humain, elles sont 83% à ne pas disposer d'équipe dédiée ou en charge du traitement de ce type d'incidents. Au niveau pratique également, puisque la moitié (58%) ne définissent pas de processus ou de moyen de notification en cas decyber-attaque.
Pour les entreprises disposant de moyens de réaction, 45% ne procèdent pas à une réévaluation de leurs moyens de réaction face à une cyber-attaque.

... Mais aussi de récupération, parent pauvre de lagrande majorité des entreprises
Bien que la probabilité d'une agression par cyber-attaque soit très élevée à moyen terme,32% des sondés indiquent ne pas disposer d'outils permettant la traçabilité, l'enregistrement, la collecte des traces et preuves de l'agression détectée.
Plus inquiétant encore, 59% ne définissent pas de processus relatifs aux aspects juridiques et assurantiels suite à une cyber-attaque.

Une sensibilisation qui implique trop peu les utilisateurs pour qu'elle soit efficiente
La grande majorité (72%) des entreprises ne réalise pas d'exercice de crise intégrant un scénario de cyber-attaque et plus de la moitié (59%) ne prévoit pas d'en réaliser.
En revanche, 61% d'entre elles ont mis en place des campagnes de sensibilisation auprès de leurs collaborateurs... Mais sans réellement les impliquer (dans 77% des cas) dans les plans de réaction.

« Il est temps de passer de la théorie à la pratique régulière ! Et de la ligne Maginot à une défense en profondeur agile et adaptative », explique Luc Delpha, Directeur du Département Gestion des Risques et Sécurité de l'information de Provadys.
« Les entreprises sont aujourd'hui conscientes de la réalité du risque de cyber-attaque. Néanmoins, elles manquent de préparation pour faire face à une situation qui est passée du statut de "possibilité technique" à "quasi-certitude statistique"» conclut-il.

L'intégralité des résultats de l'étude est synthétisée dans l'ouvrage
« Cyber-attaques, où en sont les entreprises françaises ? »

 

 

Méthodologie :
L'enquête a été menée entre le 6 juin 2013 et le 12 août 2013, auprès de 140 RSSI au travers de questionnaires diffusés en ligne et par courrier.

A propos de Provadys :

Cabinet spécialisé en Technologies de l'Information, Provadys accompagne les entreprises dans leurs projets liés au système d'information, qu'il s'agisse d'infrastructure du SI, de production ou encore de sécurité. Au-delà de cet univers nous nous attachons à revaloriser et à repositionner le métier du conseil en fournissant à nos clients de vraies solutions. Les bonnes pratiques nous les suivons ou nous les inventons, nous sommes un cabinet de solutions.


Plus d'informations sur : http://www.provadys.com

A propos du Club des experts de l'information et du numérique - CESIN

Dans un contexte où la révolution numérique est omniprésente, le rôle du Responsable de Sécurité du Système d'Information évolue, se structure et se professionnalise. Il couvre une palette de responsabilités aussi diversifiées que les entreprises qui l'emploient, nécessitant des compétences techniques, organisationnelles, juridiques mais avant tout des qualités d'écoute, d'analyse et de communication.
Le CESIN est une association loi 1901, créée en juillet 2012 qui regroupe aujourd'hui près de 150 RSSI.
Au-delà de sa vocation première d'être un lieu d'échange de connaissances, de partage d'expériences, de coopération entre professionnels de la sécurité, le CESIN vise à développer, promouvoir et professionnaliser la fonction d'expert en sécurité de l'information et du numérique.

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.


BONUS:

 

http://www.cesin.fr

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires