Le cabinet d’audit EY publie son enquête annuelle sur la sécurité de l’information (Global Information Security Survey). Entre juin et septembre 2016, un panel international de 1755 DSI, RSSI et dirigeants d’entreprise, a été interrogé. Résultat : 50% des répondants ont confiance en leur capacité à détecter des cyberattaques sophistiquées, alors que ce taux ne dépassait pas 36% l’an dernier.
Malgré ce regain de confiance, 57% des répondants déclarent avoir récemment enregistré un incident significatif de cybersécurité. Et 86% disent que leur système d’information ne répond pas pleinement aux besoins de leur organisation en matière de cybersécurité. Par ailleurs, 64% n’ont pas de programme formel de renseignements sur les menaces ou ne dispose que d’un programme informel. Et 55% estiment ne pas avoir les moyens d’identifier les vulnérabilités…
Pourtant, la poursuite des opérations et la reprise après un sinistre sont considérées comme des priorités élevées par la majorité (57%). Mais 44% des organisations concernées par cette enquête n’ont pas de centre de supervision et de gestion des événements ou incidents de sécurité. Elles sont presque aussi nombreuses (42%) à ne pas avoir de stratégie ou de plan en cas d’attaque significative.
Les vulnérabilités qui exposent le plus les organisations interrogées au risque cyber sont : les employés mal-avisés ou bernés par des techniques d’ingénierie sociale (pour 55% des répondants), l’accès non autorisé au SI (54%), une architecture ou des contrôles de sécurité informatique dépassés (48%). Les vulnérabilités sont donc internes, mais les menaces viennent d’abord de l’extérieur, selon les DSI interrogés. Ainsi, les malwares (52%) et le phishing (51%) sont les menaces citées par le plus grand nombre de répondants. Viennent ensuite le vol de données financières (45%) et le vol d’adresses IP ou d’autres données(42%). Puis, seulement, les attaques internes (33%).
Le cabinet EY recommande donc aux entreprises d’adopter une stratégie de résilience. Elle consiste à investir pour mieux comprendre l’écosystème cyber, prioriser les actifs critiques à protéger, déterminer les facteurs de risque informatique ou encore mener des investigations formelles et se préparer à engager des poursuites. Autant de propositions qui s’adressent essentiellement aux grandes entreprises clientes ou prospects de EY.
Lire aussi :
Les RSSI des grandes entreprises se sentent invincibles
Cyberattaques : des entreprises trop confiantes face au risque
Le coût des cyberattaques ? Personne n’en sait rien, selon l’UE
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…