@DPO_News @cyberisques #GDPR étude Cyber Resilient Organisation de Ponemon: 22 % des sondés estiment que leur organisation respectera le #RGPD #GDPR

 

@DPO_News @cyberisques #GDPR

 

 

 Etude Cyber Resilient Organisation de Ponemon pour IBM Resilient:

22 % des sondés estiment que leur organisation respectera le #RGPD #GDPR

 

Etude annuelle sur la cyber-résilience :

Focus sur les résultats en France

Institut Ponemon, février 2017

 

La règlementation mondiale sur les données privées encourage le financement de la sécurité informatique. Lorsqu'on leur demande quelle règlementation encourage le financement de la sécurité informatique, 68 % des sondés pensent qu’il s'agit du nouveau règlement général européen sur la protection des données (ou GDPR, Global Data Protection Regulation) ou des lois internationales de chaque pays (61 %). Seuls 22 % des personnes interrogées estiment que leur organisation respectera scrupuleusement le règlement général européen sur la protection des données.

 

 

IBM Resilient et l’Institut Ponemon présentent les résultats de la première étude annuelle incluant la France sur l'importance de la cyber-résilience pour une sécurité efficace. Dans le cadre d’une enquête menée en France auprès de 272 experts en IT et en sécurité informatique1, seulement 21 % des sondés déclarent que leur organisation possède un haut degré de cyber-résilience, et 73 % pensent qu’elle n’est pas préparée à se remettre d’une cyberattaque.

Dans le cadre de cette recherche, nous définissons la cyber-résilience comme la synchronisation des capacités de prévention, de détection et de réaction qui permettent de gérer une cyberattaque, d'en atténuer les répercussions et de s’en remettre. Il s'agit de la capacité d'une entreprise à maintenir son objectif et son intégrité intrinsèques lorsqu'elle est confrontée à des attaques. Une organisation dite « cyber-résiliente » peut prévenir, détecter, contenir et se remettre d’un grand nombre de menaces sérieuses concernant les données, les applications et l'infrastructure informatique.

La cyber-résilience favorise une sécurité efficace. Dans ce rapport, nous nous concentrons sur des organisations qui pensent avoir atteint un très haut niveau de cyber-résilience, et nous les comparons à d’autres qui estiment n'en avoir atteint qu’un niveau moyen.

Cette comparaison révèle qu’un haut niveau de cyber-résilience réduit le nombre de cas de violations de données, permet aux organisations de résoudre des incidents informatiques plus rapidement et réduit le nombre de perturbations des procédures de l'entreprise ou des services informatiques. L'étude démontre aussi qu’un plan de réaction aux incidents de sécurité informatique (CSIRP, Computer Security Response Plan) systématiquement appliqué dans toute l’entreprise et soutenu par les hauts dirigeants est un élément décisif en termes de capacité à atteindre un haut niveau de cyber-résilience.

 

Les éléments clés de la cyber-résilience sont la capacité à prévenir, détecter et contenir une cyberattaque et à s’en relever. Comme le montre la figure 1, c’est dans leur aptitude à contenir une cyberattaque (52 %) et à la détecter (45 %) que les sondés sont le plus confiants. Ils le sont moins en ce qui concerne leur aptitude à s’en remettre.

 

L’investissement dans le recrutement et dans les fournisseurs de sécurité en services managés profite à la cyber-résilience. Seuls 20 % des sondés indiquent que leur cyber-résilience s’est considérablement améliorée (5 %) ou améliorée (15 %) durant les 12 derniers mois. Les personnes interrogées attribuent les améliorations en cyber-résilience à un investissement dans la formation du personnel (44 %) ou à l'intervention d'un fournisseur de sécurité en services managés (38 %).

C'est le manque d’organisation et de sensibilisation au risque qui nuit le plus à la cyber-résilience. 68 % des sondés déclarent que le manque d’organisation et de préparation constitue le plus grand obstacle, et selon 52 % des répondants, le manque de sensibilisation au risque, d'analyse et d'évaluation empêche les organisations de mettre en place une cyber-résilience optimale. La complexité des procédures de l’entreprise est perçue comme un frein par 47 % des personnes interrogées.

Les plans de réponse aux incidents de sécurité informatique n’existent souvent pas, ou sont « ponctuels ». Pour 76 % des sondés, un plan CSIRP et des experts en cybersécurité sont très importants. Cependant, seulement 23 % des personnes interrogées affirment que leur entreprise applique systématiquement un plan CSIRP. Selon 31 % des sondés, soit leur entreprise ne possède pas de plan CSIRP (27 %), soit elle en possède un qui est officieux ou « ponctuel » (24 %).

Le temps de réaction à un incident de sécurité influence la cyber-résilience. Presque la moitié des sondés (48 %) affirme que la durée de résolution d'un incident informatique a considérablement augmenté (19 %) ou augmenté (29 %). Seuls 29 % des répondants indiquent que la durée a diminué (18 %) ou considérablement diminué (11 %).

L’erreur humaine est la plus grosse menace informatique qui plane sur la cyber-résilience. Lorsque les chercheurs ont demandé aux sondés de classer sept menaces de sécurité informatique qui pourraient toucher la cyber-résilience, la première d’entre elles citée est l’erreur humaine, suivie des menaces persistantes avancées (APT) et de l’exfiltration de données. 70 % des personnes interrogées affirment que les incidents qu'ils ont vécus impliquaient une erreur humaine. Selon les personnes interrogées, les erreurs de système informatique (48 %) et l’exfiltration de données (44%) sont également significatives.

Les logiciels malveillants et le phishing sont les dangers les plus courants pour les réseaux informatiques et les points d’accès des entreprises. 51 % des sondés affirment que des perturbations de processus de l’entreprise ou de services informatiques causées par des failles de sécurité se produisent très souvent (16 %) ou fréquemment (35 %). Les incidents ou les dangers les plus récurrents sont les logiciels malveillants (70 %) et le phishing (62 %), suivis par l'erreur de communication (58 %).

Plateforme de réaction aux incidents et partage des informations sur les menaces : solutions clés pour améliorer la cyber-résilience. 46 % des sondés déclarent que leur organisation participe à une initiative ou un programme de partage d’informations relatifs aux failles de sécurité des données et à la réaction aux incidents avec le gouvernement et autres entreprises. 69 % des personnes interrogées estiment que le partage d’informations améliore la sécurité de leur entreprise, et 65 % déclarent qu'il améliore l’efficacité de leur plan de réaction à un incident. 63 % des répondants affirment que le partage d’informations sur les menaces accélère le délai de réactions aux incidents.

Les organisations ne reconnaissent pas les avantages d’une participation à un programme de partage d’informations sur les menaces. Pourquoi certaines entreprises sont-elles réticentes à partager les informations sur les menaces ? Selon les 54 % des personnes qui ne partagent pas d’informations sur les menaces, ce choix peut être attribué à l’absence d'avantages (55 %), au manque de ressources (29 %) ou aux coûts trop élevés (29 %).

Les dirigeants ne voient pas l'importance de la cyber-résilience. Les résultats soulignent la difficulté que rencontrent les professionnels de la sécurité informatique à faire investir les entreprises en personnel, en procédures et en technologies pour optimiser la cyber-résilience.Seulement 39 % des sondés déclarent que les dirigeants de leur entreprise reconnaissent le rôle de la cyber-résilience dans la réputation de la marque et dans le chiffre d’affaires (43 %). 45 % des personnes interrogées affirment que leurs dirigeants reconnaissent que les risques liés à l’entreprise nuisent à la cyber-résilience.

La règlementation mondiale sur les données privées encourage le financement de la sécurité informatique. Lorsqu'on leur demande quelle règlementation encourage le financement de la sécurité informatique, 68 % des sondés pensent qu’il s'agit du nouveau règlement général européen sur la protection des données (ou GDPR, Global Data Protection Regulation) ou des lois internationales de chaque pays (61 %). Seuls 22 % des personnes interrogées estiment que leur organisation respectera scrupuleusement le règlement général européen sur la protection des données.

Le financement de la cyber-résilience représente 29 % du budget de la cybersécurité. La moyenne du budget de la cybersécurité est de 9 millions de dollars, et environ 26 % du budget de la sécurité informatique est alloué aux activités liées à la cyber-résilience. Pour accroître l’efficacité de la cyber-résilience de 10 %, les organisations seraient prêtes à augmenter le budget de 6 %, et pour une croissance de 90 %, elles seraient prêtes à rallonger le budget de 27 %.

La flexibilité et une équipe compétente sont déterminantes pour atteindre un haut niveau de cyber-résilience. Lorsqu’ils évaluent les facteurs les plus importants pour réussir la cyber-résilience, les sondés mentionnent : la flexibilité, un personnel compétent ou spécialisé et une bonne préparation. Des ressources abondantes et le leadership sont considérés comme les facteurs les moins importants.

Les technologies d’authentification et de gestion de l'identité sont les clés d'un niveau élevé de cyber-résilience. En plus des personnes et des procédures, de bonnes technologies sont essentielles à une cyber-résilience efficace. Les sept technologies les plus adaptées à une cyber-résilience efficace sont : la gestion et authentification de l’identité, les systèmes de prévention et de détection d’intrusion, l'encodage des données inactives, les solutions antivirus / anti-malware, une plateforme de réaction aux incidents, l'encodage des données en mouvement et la surveillance du trafic sur le réseau.

Certaines fonctionnalités technologiques sont les clés d'une cyber-résilience efficace. Les fonctionnalités les plus importantes qui ont été à la fois entièrement et partiellement déployées pour mettre en place la cyber-résilience sont les suivantes : empêcher les dispositifs non sécurisés d'accéder aux systèmes de sécurité (80 %), contrôler les terminaux et les connexions mobiles (77 %), sécuriser les données stockées dans le cloud (77 %) et contrôler les dispositifs mobiles non sécurisés, dont le BYOD (71 %).

Certaines pratiques de gouvernance et de contrôle sont les clés d’une cyber-résilience efficace. Les pratiques de gouvernance et de contrôle les plus importantes qui ont été entièrement et partiellement déployées sont : des politiques de sécurité informatique clairement définies (83 %), des sauvegardes et des plans de sauvetage (82 %), des plans de gestion de réaction aux incidents (79 %), une chaîne de communication en amont à partir du chef de sécurité jusqu’au PDG et aux directeurs (78 %), des vérifications des antécédents des utilisateurs du système (74 %), du personnel expert en sécurité informatique (73 %) et des activités de formation et de sensibilisation pour les utilisateurs du système de l’organisation (76 %).

Partie 2. Résultats clés

Dans cette partie du rapport, nous établissons une analyse des résultats clés. L'intégralité des résultats audités est présentée en annexe. Nous les avons organisés selon les sujets suivants :

  • L'état de la cyber-résilience

  • Les menaces auxquelles est confrontée la cyber-résilience

  • Les facteurs d'une cyber-résilience réussie

  • Les caractéristiques des organisations qui ont un haut niveau de cyber-résilience

L'état de la cyber-résilience

La cyber-résilience est déterminante pour résoudre les problèmes consécutifs de nombreuses violations des données. 59 % des sondés indiquent que leur organisation a connu une violation des données impliquant la perte ou le vol de plus de 1 000 dossiers contenant des informations sensibles ou confidentielles sur l’entreprise, et ce au cours des deux dernières années. 62 % de ces personnes ont vécu plus d’une violation de leurs données lors ces deux dernières années.

Seuls 20 % des sondés estiment que leur cyber-résilience s’est considérablement améliorée (5 %) ou améliorée (15 %) dans les 12 derniers mois. Comme le montre le graphique 2, ces personnes interrogées affirment que si la cyber-résilience s'est améliorée, c'est grâce à un investissement dans la formation du personnel (44 %) ou à l’intervention d'un fournisseur de sécurité en services managés (38 %).

Graphique 2. Pourquoi la cyber-résilience de votre organisation a-t-elle été optimisée ?

Plus d’une réponse autorisée

C'est un manque d’organisation et de sensibilisation au risque qui nuit le plus sur la cyber-résilience. Comme le montre le graphique 3, 68 % des sondés pensent que le manque d’organisation et de préparation est le plus gros frein et 52 % estiment que le manque de conscience du danger, d'analyse et d’évaluation empêche les entreprises d’optimiser la cyber-résilience. La complexité des procédures de l’entreprise est perçue comme un frein par 47 % des personnes interrogées.

Graphique 3. Quelles sont les principales barrières à la cyber-résilience ?

Quatre réponses autorisées

Les plans de réponse aux incidents de sécurité informatique n’existent souvent pas, ou sont « ponctuels ». Pour 76 % des sondés, un plan CSIRP et des experts en cybersécurité sont très importants. Cependant, comme le montre le graphique 4, seuls 23 % des personnes interrogées indiquent appliquer systématiquement un plan CSIRP dans leur entreprise. Selon 31 % des sondés, soit leur entreprise ne possède pas de plan CSIRP (27 %), soit elle en possède un qui est officieux ou « ponctuel » (24 %).

Graphique 4. Quelle est la phrase décrivant le mieux le plan de réaction aux incidents de cybersécurité de votre organisation ?

Le temps de réaction à un incident de sécurité nuit à la cyber-résilience. Selon le graphique 5, la quasi moitié des sondés (48 %) affirme que la durée de résolution d'un incident informatique a considérablement accru (19 %) ou augmenté (29 %). Seuls 29 % des personnes interrogées disent que la durée a diminué (18 %) ou considérablement réduit (11 %).

Graphique 5. Au cours des 12 derniers mois, la durée de résolution d'un cyber-incident a-t-elle changé ?

Les menaces auxquelles est confrontée la cyber-résilience

L’erreur humaine est la plus grosse menace qui plane sur la cyber-résilience. Lorsque les chercheurs ont demandé aux sondés de classer sept menaces de sécurité informatique qui pourraient nuire à la cyber-résilience, la première citée est l’erreur humaine, suivie des menaces persistantes avancées (APT) et l’exfiltration de données (voir graphique 6).

Graphique 6. Quelles sont selon vous les menaces qui ont l'impact le plus important sur la cyber-résilience de votre organisation ?

1 = L’impact le plus important 7 = l’impact le moins important

70 % des sondés affirment que les incidents qu'ils ont vécus impliquaient une erreur humaine (voir graphique 7). Les erreurs de système informatique et l’exfiltration de données sont également significatives selon, respectivement, 48 et 44 % des personnes interrogées.

Graphique 7. Votre organisation a-t-elle été victime de l'une de ces menaces de sécurité au cours de l'an dernier ?

Plus d’une réponse autorisée

Les logiciels malveillants et le phishing sont les dangers les plus courants pour les réseaux informatiques et les points de d’accès des entreprises. 51 % des sondés déclarent que des perturbations de processus de l’entreprise ou de services informatiques causées par des failles de sécurité se produisent très souvent (16 %) ou souvent (35 %).

Selon le graphique 8, les incidents ou les dangers les plus fréquents sont les logiciels malveillants (70 %) et le phishing (62 %), suivis par une erreur de communication (58 %).

Graphique 8. Parmi les incidents suivants, quels sont ceux qui touchent régulièrement les réseaux IT ou les points d’accès de votre organisation ?

Les facteurs d'une cyber-résilience efficace.

Une plateforme de réaction aux incidents et un partage des informations sur les menaces : des solutions clés pour améliorer la cyber-résilience. 46 % des sondés déclarent que leur organisation participe à une initiative ou un programme de partage d’informations sur des failles de sécurité des données et sur la réaction aux incidents avec le gouvernement et d'autres entreprises.

Comme l’illustre le graphique 9, 69 % des sondés pensent que le partage d’intelligence améliore le positionnement de leur entreprise en matière de sécurité, et 65 % déclarent qu’il améliore l’efficacité de leur plan de réponse à un incident. 63 % des personnes interrogées affirment que le partage d’informations sur les menaces accélère le délai de réactions aux incidents.

Graphique 9. Lorsque votre organisation communique au sujet de ses plans de réponse aux incidents et des violations de données dont elle a été victime, quel en est le but ?

Trois réponses autorisées

Les organisations ne reconnaissent pas les avantages d’une participation à un programme de partage d’informations sur les menaces. Pourquoi certaines entreprises sont-elles réticentes à partager les informations sur les menaces ? Selon 54 % des personnes qui ne partagent pas d’informations sur les menaces, ce choix peut être provoqué par l’absence d'avantages (55 %), le manque de ressources (29 %) ou les coûts trop élevés (29 %), comme nous pouvons le voir dans le graphique 10.

Graphique 10. Pourquoi votre organisation ne participe-t-elle pas à un programme de partage d'informations sur les menaces actuelles ?

Deux réponses autorisées

Les dirigeants ne voient pas l'importance de la cyber-résilience. Les résultats soulignent la difficulté que rencontrent les professionnels de la sécurité informatique à faire investir les entreprises en personnel, en procédures et en technologies pour optimiser la cyber-résilience.Selon le graphique 11, seuls 39 % des sondés déclarent que les dirigeants de leur entreprise reconnaissent le rôle de la cyber-résilience dans la réputation de la marque et dans le chiffre d’affaires (43 %). 45 % des personnes interrogées affirment que leurs dirigeants reconnaissent que les risques liés à l’entreprise nuisent à la cyber-résilience.

Graphique 11. Que pensez-vous de l'attitude de votre direction en matière de cyber-résilience ?

Réponses « D’accord » et « Entièrement d’accord » combinées

Le financement de la cyber-résilience représente 26 % du budget de sécurité informatique. La moyenne du budget pour la cybersécurité est de 9 millions de dollars, et environ 26 % du budget de la sécurité informatique est alloué aux activités liées à la cyber-.résilience.

Comme le montre le graphique 12, pour accroître l'efficacité de leur cyber-résilience de 10 %, les organisations seraient prêtes à augmenter le budget de 6 %. Pour une hausse de l’efficacité de 90 %, elles seraient prêtes à augmenter le budget de 27 %.

 

DPO NEWS-PONEMOn-IBM-2017

Graphique 12. Quelle part du budget dédié à la sécurité IT votre organisation serait-elle prête à consacrer à une optimisation de la cyber-résilience de l'ordre de 10 % ou 90 % ?

La règlementation mondiale sur les données privées encourage le financement de la sécurité informatique. Lorsqu'on leur demande quelle règlementation encourage le financement de la sécurité informatique, la plupart des sondés pensent qu’il s'agit du nouveau Règlement Général Européen sur la Protection des Données (GDPR) (65 %) ou des lois internationales de chaque pays (61 %), comme le montre le graphique 13. Seuls 22 % des personnes interrogées estiment que leur organisation est capable de respecter le règlement général européen sur la protection des données.

Graphique 13. A quels règlements votre organisation se conforme-t-elle pour sa stratégie de sécurité IT ?

Plus d’une réponse possible

La flexibilité et une équipe compétente sont déterminantes pour atteindre un haut niveau de cyber-résilience. Lorsqu’ils évaluent les facteurs les plus importants pour réussir la cyber-résilience, les sondés mentionnent : la flexibilité, un personnel compétent ou spécialisé et une bonne préparation. Des ressources abondantes et le leadership sont considérés comme les facteurs les moins importants, selon le graphique 14.

Graphique 14. Les sept facteurs considérés comme indispensables pour une cyber-résilience efficace

1 = le plus important 7 = le moins important

Les technologies d’authentification et de gestion de l'identité sont les clés d'un niveau élevé de cyber-résilience. En plus des personnes et des procédures, de bonnes technologies sont essentielles à une cyber-résilience efficace. Comme le montre le graphique 15, les sept technologies les plus efficaces pour une bonne cyber-résilience sont : la gestion et authentification de l’identité, les systèmes de prévention et de détection d’intrusion, l'encodage des données inactives, les solutions antivirus / anti-malware, une plateforme de réaction aux incidents, l'encodage des données en mouvement et la surveillance du trafic sur le réseau.

Graphique 15. Les sept technologies de sécurité les plus performantes

Le sondage laissait le choix entre vingt-cinq technologies différentes

Certaines fonctionnalités technologiques sont les clés d'une cyber-résilience efficace. Comme le montre le graphique 16, les fonctionnalités les plus importantes qui ont été à la fois entièrement et partiellement déployées pour mettre en place la cyber-résilience sont les suivantes : empêcher les dispositifs non sécurisés d'accéder aux systèmes de sécurité (80 %), contrôler les terminaux et les connexions mobiles (77 %), sécuriser les données stockées dans le cloud (77 %) et contrôler les dispositifs mobiles non sécurisés, dont le BYOD (71 %).

Graphique 16. Dans le cadre de sa cybersécurité, mon organisation a partiellement ou totalement déployé les outils suivants :

Certaines pratiques de gouvernance et de contrôle sont les clés d’une cyber-résilience efficace. Comme le montre le graphique 17, les pratiques de gouvernance et de contrôle les plus importantes qui ont été entièrement et partiellement déployées sont : des politiques de sécurité informatique clairement définies (83 %), des sauvegardes et des plans de sauvetage (82 %), des plans de gestion de réaction aux incidents (79 %), une chaîne de communication en amont à partir du chef de sécurité jusqu’au PDG et aux directeurs (78 %), des vérifications des antécédents des utilisateurs du système (74 %), du personnel expert en sécurité informatique (73 %) et des activités de formation et de sensibilisation pour les utilisateurs du système de l’organisation (76 %).

Graphique 17. Pratiques de gestion et de contrôle totalement ou partiellement déployées

Les caractéristiques des organisations qui ont un haut niveau de cyber-résilience

Pour cette étude, nous avons identifié certaines organisations qui se sont auto-évaluées comme ayant un niveau élevé de cyber-résilience et une meilleure aptitude à atténuer les risques, vulnérabilités et attaques.

Parmi les 272 organisations représentées dans cette étude, 25 se sont auto-évaluées à 9 + sur une échelle de 1 (faible résilience) à 10 (forte résilience). Les personnes interrogées venant de ces organisations à « haute performance » sont beaucoup plus confiantes par rapport à l’efficacité de leur sécurité que les personnes qui jugent que leur entreprise n’a pas atteint un haut niveau de cyber-résilience. Ces organisations sont classées dans la catégorie « performance moyenne ».

Les entreprises possédant une cyber-résilience efficace sont considérablement plus confiantes en leur aptitude à prévenir, détecter, contenir une cyberattaque, et à s’en remettre. Comme le montre le graphique 18, 75 % des sondés issus d’organisations à cyber-résilience efficace sont très confiants en leur aptitude à détecter une cyberattaque, là où seulement 45 % des autres organisations le sont.

Parallèlement, 72 % des personnes interrogées venant d’organisations à « haute performance » sont confiantes en la capacité de leur entreprise à prévenir des cyberattaques, contre 43 % pour les entreprises à « performance moyenne ». 70 % des sondés des organisations à « haute performance » pensent que leur entreprise est capable de contenir une cyberattaque, contre 52 % des personnes d’organisations à « performance moyenne ». En outre, 60 % des sondés des organisations à « haute performance » estiment que leur entreprise est capable de se remettre d’une cyberattaque, contre 27 % des personnes d’organisations à « performance moyenne ».

Graphique 18. Confiance des organisations en matière de prévention, détection, confinement des cyberattaques et de reprise après sinistre

1 = faible confiance 10 = grande confiance, 7+ réponses enregistrées

Les organisations à cyber-résilience efficace présentent beaucoup moins de risques de souffrir d’une faille de sécurité de leurs données. Le graphique 19 nous montre que 59 % des sondés venant d’organisations à « performance moyenne » ont connu une violation de données, contre 40 % des sondés d’organisations « haute performance ».

Graphique 19. Votre organisation a-t-elle déjà été victime d'une violation de données ?

Les organisations à cyber-résilience efficace ont mis en place des plans de réponse à un incident de cybersécurité (CSIRP) appliqués à toute l'entreprise. Comme le démontrent les informations susmentionnées, les organisations à cyber-résilience efficace sont beaucoup plus confiantes en leur aptitude à prévenir, détecter, contenir une cyberattaque, et à s’en remettre. Elles sont aussi plus enclines à appliquer un plan CSIRP dans toute leur entreprise (47 % des sondés), comme l'illustre le graphique 20.

Graphique 20. Quelle phrase décrit le mieux le plan de réponse à un incident de cybersécurité (CSIRP) de votre organisation ?

De plus, 88 % des sondés issus d'organisations à niveau élevé de cyber-résilience déclarent être convaincus de l’importance d'avoir des professionnels qualifiés au sein de leur plan CSIRP (voir graphique 21).

Graphique 21. Il est essentiel de pouvoir compter sur des professionnels experts en cybersécurité dans le cadre d'un plan de réponse à un incident de cybersécurité (CSIRP)

1 = peu important 10 = très importants, 7+ réponses enregistrées

Les organisations à haut niveau de cyber-résilience sont légèrement plus rapides dans la résolution des incidents informatiques. Selon le graphique 22, 33 % des sondés d’organisations à cyber-résilience efficace indiquent que le temps de résolution d’un incident informatique a diminué (21 %) ou considérablement diminué (12 %). 43 % des sondés d’organisations à « performance moyenne » estiment que le temps de résolution d’un incident informatique a considérablement diminué (19 %) ou réduit (29 %).

Graphique 22. La durée de résolution d'un incident a-t-elle évolué ?

Les organisations à cyber-résilience efficace sont en faveur du partage d'informations sur les violations de données. 66 % des personnes interrogées venant d’organisations à « haute performance » affirment que leur organisation partage des informations qui concernent les violations de données avec le gouvernement et d'autres entreprises, comme l'illustre le graphique 23.

Graphique 23. Votre organisation partage-t-elle des informations sur les violations de données avec le gouvernement ou d'autres membres de leur secteur ?

Il y a moins de perturbations des processus de l'entreprise ou des services informatiques au sein des organisations à la cyber-résilience efficace. 33 % des sondés venant d’organisations à « haute performance » affirment que leur organisation n'a que rarement (22 %) ou jamais (10 %) de perturbations des procédures de l’entreprise ou de services informatiques (voir Graphique 24).

Graphique 24. Votre entreprise connaît-elle souvent des perturbations au niveau de ses processus ou de ses services IT ?

Les hauts dirigeants des organisations à « haute performance » accordent de l’importance à la cyber-résilience. L’importance qu’accordent les dirigeants des entreprises à la cyber-résilience varie significativement entre les organisations à « performance moyenne » et à « haute performance ».

60 % des sondés des organisations à « haute performance » affirment que les dirigeants de leur entreprise reconnaissent que la cyber-résilience a des conséquences sur le chiffre d'affaires (voir graphique 25). Parallèlement, 59 % des répondants indiquent que leurs dirigeants reconnaissent que les risques que court leur entreprise influent sur la cyber-résilience, et les organisations à « haute performance » sont aussi plus enclines à avoir le niveau approprié de personnel et de financement pour optimiser leur cyber-résilience.

 

Abonnemnt-2017

 

Etude Ponemon Cyber-Résilience 2017 – France

 

La nouvelle étude menée par l’Institut Ponemon pour IBM Resilient montre que les entreprises françaises ne sont toujours pas préparées à répondre aux cyberattaques alors que le risque de faille de sécurité augmente toute comme la complexité des procédures de l’entreprise ou des services informatiques.

 

La cyber-résilience favorise une sécurité efficace. Dans ce rapport, nous nous concentrons sur des organisations qui pensent avoir atteint un très haut niveau de résilience informatique, et nous les comparons à d’autres qui estiment n'en avoir atteint qu’un niveau moyen.

 

Cette comparaison révèle qu’un haut niveau de cyber-résilience réduit le nombre de cas de violations de données, permet aux organisations de résoudre des incidents informatiques plus rapidement et réduit le nombre de perturbations des procédures de l'entreprise ou des services informatiques. L'étude démontre aussi qu’un plan de réaction aux incidents de sécurité informatique (CSIRP, Computer Security Response Plan) systématiquement appliqué dans toute l’entreprise et soutenu par les hauts dirigeants est un élément décisif en termes de capacité à atteindre un haut niveau de cyber-résilience.

 

Les résultats de ce rapport annuel, qui a été mené en France pour la toute première fois, montre que la majorité des répondants estiment que leur entreprise n’est pas en mesure de maintenir efficacement son activité lorsqu'elle est confrontée à des attaques et de s’en remettre rapidement.

 

  • 73 % pensent qu’elle n’est pas préparée à se remettre d’une cyberattaque (66 % en moyenne au niveau global)

 

  • 79 % estiment que le niveau de cyber-résilience n’est pas « élevé » au sein de leur entreprise (68 % en moyenne au niveau global)

 

Les freins les plus importants aujourd’hui pour les professionnels de la sécurité en France sont le manque d’organisation, la complexité des procédures d’entreprise et des services informatiques ainsi que le manque de sensibilisation aux risques.

 

  • 68 % des sondés déclarent que le manque d’organisation et de préparation constitue le plus grand obstacle

  • 52 % des répondants, le manque de sensibilisation au risque, d'analyse et d'évaluation empêche les organisations de mettre en place une cyber-résilience optimale, suivi par la complexité des procédures d’entreprise selon 47 % des personnes interrogées.

 

L’un des facteurs clés pour atteindre un haut niveau de cyber-résilience est de mettre en place un plan de réponse aux incidents de sécurité informatique (CSIRP) au niveau de toute l’entreprise. En France, de nombreuses organisations n’ont toujours pas adopté ce concept, bien que 76 % des sondés, un plan CSIRP et des experts en cybersécurité sont très importants. L’étude révèle également que :

 

  • 77 % des personnes interrogées indiquent qu’un plan CSIRP n’est pas systématiquement appliqué dans leur entreprise

  • 27 % ne possèdent pas de plan du tout

  • 54 % n’ont pas testé leur plan depuis qu’il a été mis en place

  • 48 % ont déclaré que le temps nécessaire pour résoudre un incident a augmenté au cours des 12 derniers mois

 

De plus, la majorité des professionnels interrogés ont indiqué que leur entreprise avait eu au moins une violation de données au cours de deux dernières années :

 

  • 59 % des sondés indiquent que leur organisation a connu une violation des données impliquant la perte ou le vol de plus de 1 000 dossiers contenant des informations sensibles ou confidentielles sur l’entreprise (53 % au niveau global). Parmi eux, 62 % de ces personnes ont vécu plus d’une violation de leurs données.

 

Ce nouveau rapport met également en lumière le fait que le niveau de cyber-résilience au sein des organisations n’est pas cohérent avec la complexité grandissante des cyberattaques, à moins que les entreprises adoptent la bonne approche avec les effectifs, les procédures et les technologies en place :

 

  • 48 % indiquent que la cyber-résilience a soit diminué (4 %) ou n’a pas été améliorée (44 %) au cours des 12 derniers mois, une situation encore moins bonne qu’au niveau global (48 %).

  • Parmi ceux qui ont déclaré une amélioration de la résilience informatique, 58 % estiment qu’une plateforme de réponse aux incidents faisait partie des solutions de sécurité les plus efficaces pour améliorer la cyber-résilience.

 

Autre point intéressant de cette étude concerne le comportement des organisations « hautement performantes » en France comparées à la moyenne globale. Elles sont en effet beaucoup moins susceptibles d’avoir subi une faille de sécurité au cours des 12 derniers mois (59 % contre 40 %), et en meilleure posture pour se protéger des cyberattaques (43 % contre 72 %), les détecter (45 % contre 75 %), les résoudre (52 % contre 70 %) et s’en remettre (27 % contre 60 %). Pour quelles raisons atteignent-elles un haut niveau de cyber-résilience ?

 

  • Deux fois plus d’entre elles ont un CSIRP appliqué à toute l’entreprise (47 % contre 23 %)

  • Elles sont plus susceptibles de partager des informations concernant les menaces (65 % contre 46 %)

  • Leur leadership reconnaît l’importance de la cyber-résilience (59 % contre 45 %)

  • Elles reconnaissent l’importance d’avoir un personnel compétent (88 % contre 76 %)

 

Cette toute dernière étude montre que les entreprises françaises reconnaissent l’importance de la cyber-résilience pour protéger leur business, mais il reste des défis à relever, confie le Dr Larry Ponemon. Ce que nous pouvons constater chez les entreprises ayant un haut niveau de cyber-résilience, c’est que les investissements dans l’organisation, les compétences du personnel et dans un leadership fort porteront leurs fruits. »

 

 

BONUS: 

 

https://www.resilientsystems.com/

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires