Etude : 50% des PME ne considèrent pas les cyberattaques comme un risque majeur

sophos-logoDe nombreuses PME se mettent en danger car elles ne savent pas évaluer précisément leur niveau de sécurité et ignorent ainsi les risques que représentent les cyberattaques pour elles. L’étude, commandée par Sophos, réalisée par l’Institut Ponemon et intitulée « Les risques d’une stratégie de sécurité mal définie », démontre que les directions ne font pas une priorité de la cybersécurité : elles ne peuvent donc pas mettre en place une sécurité solide.

Parmi les 2000 personnes interrogées dans le monde, 58% ont confirmé que les directions ne considèrent pas les cyberattaques comme un risque majeur pour leur société. Malgré tout, les incidents touchant les infrastructures ou le patrimoine des entreprises, ainsi que d’autres problèmes plus sérieux liés à la sécurité ont, en moyenne, coûté à ces PME plus 1 185 000 euros ces douze derniers mois.

Priorités, budget et expertise

Dans cette étude, on lit également qu’il existe trois difficultés qui affectent la mise en place d’une stratégie solide de sécurité : établir des priorités dans la sécurité (44%), disposer de budgets insuffisants (42%) et manquer d’expertise en interne (33%). De nombreuses PME n’ont également pas défini clairement qui était en charge de la cybersécurité au sein de l’entreprise. Ainsi, cette tâche incombe donc souvent au directeur des systèmes d’informations.

L’étude met également en lumière d’autres incertitudes, notamment en ce qui concerne le BYOD (Bring Your Own Device) et le Cloud comme vecteurs potentiels d’attaques. 77% des sondés expliquent que l’utilisation des applications en Cloud et des services d’infrastructures informatiques augmentera ou restera la même l’année prochaine. Malgré tout, un quart de ces sondés déclarent ne pas savoir si cela peut affecter ou non la sécurité.

De la même façon, pour 69% des sondés, les accès mobiles aux applications sensibles seront plus nombreux l’année prochaine, bien que la moitié d’entre eux pensent que ceci risque d’affaiblir la sécurité informatique de l’entreprise.

Voici les principales conclusions de l’étude :

  • 58% des personnes interrogées expliquent que leur direction ne considère pas les cyberattaques comme un risque majeur pour l’entreprise.
  • Un tiers des sondés avouent qu’ils ignorent si leur entreprise a été victime d’une cyberattaque ces douze derniers mois. 42% des sondés ont déclaré que leur entreprise avait été la cible d’une cyberattaque lors des douze derniers mois.
  • Ce sont les sondés les plus hauts placés dans la société qui montrent la plus forte méconnaissance des menaces pour leur entreprise; ceci signifie que plus un individu est éloigné des problématiques pratiques et quotidiennes liées aux menaces, moins il est conscient et informé des dangers qui pèsent sur son entreprise et sur la nécessité de faire de la sécurité une priorité.
  • Les RSSI et les directions sont rarement impliqués dans les décisions en matière de priorités de sécurité informatique. 32% déclarent que c’est au directeur des systèmes d’informations d’établir des priorités, alors que 31% pensent que ça n’est pas la responsabilité d’une seule personne.
  • Pour 44% des sondés, la sécurité informatique n’est pas prioritaire. Et pour preuve, 42% déclarent ne pas disposer de suffisamment de budget pour mettre en place une sécurité efficace. Et pour ne rien arranger, seuls 26% des personnes interrogées pensent que les équipes informatiques sont suffisamment qualifiées.
  • Les personnes interrogées estiment que les frais occasionnés par une perturbation des opérations classiques sont beaucoup plus élevés que les coûts liés à un incident touchant l’infrastructure informatique ou à un vol de données.
  • Les mobiles et le BYOD inquiètent beaucoup plus que l’utilisation d’applications dans le Cloud ou de services d’infrastructures informatiques. Cependant, ces inquiétudes n’empêchent en rien l’adoption et l’utilisation intensive des appareils mobiles, en particulier les appareils personnels.
  • Les doutes concernant la sécurité de l’entreprise et les menaces auxquelles cette dernière doit faire face diffèrent d’un secteur à un autre :
    • Les personnes travaillant dans la finance sont plus confiants, ce qui peut s’expliquer par les nombre important d’obligations régulant la protection des données.
    • Les consciences sont également plus éveillées dans le secteur technologique. Ceci s’explique par la forte expertise informatique qui préexiste dans ce domaine d’activité.
    • Le commerce de détail, l’éducation, la recherche, les loisirs et les medias sont ceux qui affichent le moins de connaissances quant à la stratégie de sécurité de l’entreprise et des menaces qui pèsent sur elle.

Que recommande le rapport Ponemon ?

  • Les entreprises doivent concentrer leurs efforts sur la supervision de la sécurité afin de prendre les meilleures décisions. Elles doivent à la fois porter leur attention sur la surveillance, le reporting et la détection proactive des menaces, tout en évaluant la pertinence globale de leur stratégie de sécurité.
  • Il est important de mettre en place des bonnes pratiques de sécurité autour du BYOD et de la mobilité. Les entreprises doivent planifier et appliquer méticuleusement une stratégie concernant les mobiles afin que ceux-ci n’affectent pas la sécurité globale.
  • Les entreprises doivent trouver des moyens de pallier le manque de professionnels de la sécurité. Il leur faut réfléchir à des façons de libérer du temps pour les collaborateurs en interne, en se tournant notamment vers le Cloud, en consultant des experts en sécurité et en mettant place des solutions simples à administrer.
  • Les entreprises doivent pouvoir évaluer le coût d’une cyberattaque, notamment la perte de productivité occasionnée par une interruption de service. Il est important qu’elles collaborent avec les dirigeants afin de faire de la sécurité une priorité et qu’elles investissent dans des solutions de reprise d’activité performantes, afin de bénéficier d’un excellent ROI.
  • Dans tous les secteurs, les entreprises sont piratées et la conformité aux normes est souvent le premier pas vers une protection adéquate du réseau. Il est important de mutualiser la gestion de la sécurité afin de bénéficier d’une visibilité accrue sur les menaces, ce qui permettra aux entreprises de concentrer toute leur attention sur les zones problématiques.
Dans :Chiffres clé, International, Sécurité, Une Tags: 

Sur le même thème :

Protection des appareils mobiles pros pendant l’été : 10 conseils Protection des appareils mobiles pros pendant l’été : 10 conseils
Sophos acquiert Cyberoam Technologies Sophos acquiert Cyberoam Technologies
Les Etats-Unis restent le plus grand émetteur de spam au monde Les Etats-Unis restent le plus grand émetteur de spam au monde
Sophos / Server Protection : sécurité des serveurs et administration simplifiée Sophos / Server Protection : sécurité des serveurs et administration simplifiée

Laisser une réponse

Submit Comment

© 2019 IT Pro News. Tous droits réservés. XHTML / CSS Valide.
Fièrement propulsé par Theme Junkie.