Dans une étude réalisée conjointement avec le Ponemon Institute, IBM a révélé qu’une grande majorité des organisations dans le monde ne disposent pas de plan de représailles ou de défense contre les cyberattaques qui pourraient viser leurs installations. Il s’agit d’une situation jugée critique par les auteurs dudit rapport qui estiment que sans plan de recours, les conséquences en cas de cyberattaques risquent d’être très dangereuses et très coûteuses pour les entreprises. Selon le rapport du Ponemon Institute et d’IBM, les lacunes observées dans la planification d’une intervention en cas de cyberattaques sont restées constantes au cours de ces quatre dernières années.
L’étude a été réalisée par le Ponemon Institute pour le compte d’IBM Resilient et porte le nom de “The 2019 Cyber ​​Resilient Organization”. C’est la quatrième étude de référence annuelle sur la cyber-résilience c’est-à-dire la capacité d'une organisation à maintenir son objectif principal et son intégrité face aux cyberattaques. L’enquête mondiale présente les informations fournies par plus de 3600 professionnels de la sécurité et de l’informatique du monde entier notamment aux États-Unis, au Canada, au Royaume-Uni, en France, en Allemagne, au Brésil, en Australie, au Moyen-Orient et en Asie-Pacifique.
Dans ces premières conclusions, le rapport d’étude indique que l’état de préparation des organisations face à une éventuelle cyberattaque n’est pas du tout ce qu’il faut. Il révèle que la grande majorité des responsables dans les entreprises interrogées n’étaient toujours pas préparées à réagir correctement aux incidents de cybersécurité. En effet, ils sont 77 % des organisations interrogées à indiquer qu’elles ne disposent d’aucun plan de réponse aux incidents de cybersécurité à appliquer de manière cohérente à l’ensemble de l’entreprise.
Dans le même temps, un peu plus de la moitié (54 %) des entreprises interrogées qui ont dit disposer d’un plan de cyber-résilience ne le testent pas régulièrement, ce qui amène à se demander si le plan serait de taille à lutter contre une attaque réelle. IBM conclut à ce sujet que cela les rend moins préparées à gérer efficacement les processus complexes et la coordination qui doit avoir lieu à la suite d’une cyberattaque. Cependant, lorsqu’elles ont été interrogées sur les causes qui entraînent les retards dans l’élaboration de plans d’action contre les cyberattaques, les entreprises ont cité plusieurs raisons. Certaines entreprises ont évoqué le fait que les environnements, les architectures et les coûts des appareils de sécurité évoluent très rapidement et d’autres entreprises ont révélé avoir du mal à se conformer totalement aux dispositions imposées par le règlement général sur la protection des données (RGPD) et d'autres lois.
D’après le rapport, les difficultés rencontrées par les équipes de cybersécurité pour mettre en œuvre un plan de réponse aux incidents de cybersécurité ont également eu une incidence sur la conformité des entreprises avec le règlement général sur la protection des données. Près de la moitié des répondants (46 %) affirment que leur organisation n’a pas encore atteint la pleine conformité avec le RGPD, alors même que le premier anniversaire de la législation approche à grands pas. Sur ce point, en janvier dernier, un rapport de Cisco a estimé à 59 % le total des entreprises qui répondent effectivement aux exigences du RGPD depuis son entrée en vigueur en mai 2018.
Cependant, il a précisé dans son analyse que cela a rendu les entreprises observatrices de la loi plus dynamiques et plus sécurisées. Cisco a expliqué que les entreprises qui ont investi dans le respect du RGPD ont connu non seulement moins de retards dans les ventes et livraisons envers leurs clients, mais également moins d’incidents liés à la violation des données. D’autres entreprises ont également témoigné avoir tiré de nombreux autres avantages concernant leurs investissements dans la protection de la vie privée notamment, une agilité accrue, l’innovation résultant des contrôles de données désormais plus appropriés, etc.
Selon le rapport de Cisco, les pays dont l’état de préparation au RGPD variait de 42 % à 75 % tels que l’Espagne, l’Italie, le Royaume-Uni et la France se situent dans le haut de la gamme, tandis que la Chine, le Japon et l’Australie se situent dans le bas de gamme. Environ 87 % des entreprises observaient des retards dans leur cycle de vente en raison des préoccupations des clients ou des prospects en matière de confidentialité, contre 66 % l'année dernière. Cela est probablement dû à la sensibilisation accrue à la protection de la vie privée provoquée par le RGPD et aux fréquentes violations de données dans les informations.
Une autre question abordée par l’étude d’IBM Resilient est celle concernant l’automatisation. À la question de savoir si leurs entreprises faisaient usage de l’automatisation, seulement 23 % des personnes interrogées ont déclaré être des utilisateurs importants, tandis que 77 % ont déclaré que leur organisation n'utilisait l'automatisation que de manière modérée, insignifiante ou pas du tout. Les organisations qui utilisent beaucoup l'automatisation évaluent leur capacité à prévenir (69 % contre 53 %), à détecter (76 % contre 53 %), à répondre (68 % contre 53 %) et à contenir (74 % contre 49 %) une cyberattaque plus élevée que l’ensemble des répondants.
La société a précisé également que dans son étude de l’année passée, elle a constaté que l’automatisation était un point essentiel et efficace pour renforcer la cyber-résilience. « L'utilisation de l'automatisation est une occasion manquée de renforcer la cyber-résilience, car les organisations qui ont entièrement déployé l'automatisation de la sécurité ont économisé 1,5 million de dollars sur le coût total d'une atteinte à la sécurité des données, contrairement aux entreprises qui ne tiraient pas parti l’automatisation et réalisé un coût total beaucoup plus élevé d’une violation de données ».
D’autres remarques sur ce qui affecte ou ne permet pas aux entreprises de mettre en place un plan efficace de cyber-résilience viennent également s’ajouter à celles présentées plus haut. L’étude d’IBM fait ressortir que le manque de compétence en matière de cybersécurité à un impact négatif sur la cyber-résilience. Certaines entreprises qui ont indiqué du personnel qualifié pour mettre en place, tester et gérer efficacement les plans de réponses aux cyberattaques.
Cela dit, seulement 30 % des répondants ont indiqué que la dotation en personnel pour la cybersécurité était suffisante pour atteindre un niveau élevé de cyber-résilience. En outre, 75 % des personnes interrogées estiment que leur difficulté à recruter et à conserver du personnel qualifié en cybersécurité est moyennement élevée. S'ajoutant au défi des compétences, près de la moitié des répondants, environ 48 %, ont déclaré que leur organisation déployait trop d'outils de sécurité distincts, augmentant ainsi la complexité opérationnelle et réduisant la visibilité sur la posture de sécurité globale.
Enfin, l’étude a abordé la question de la protection de la vie privée. Soixante-deux pour cent des entreprises ont indiqué qu'il est essentiel d'aligner les équipes de protection de la vie privée et de cybersécurité autour de la même vision pour atteindre un niveau élevé de résilience. De plus, la plupart des personnes interrogées pensent que le rôle de la protection de la vie privée devient de plus en plus important, en particulier avec l’émergence de nouvelles réglementations telles que GDPR et California Consumer Privacy Act et accordent la priorité à la protection des données lors de leurs décisions d’achat.
Le rapport précise aussi que lorsqu'on leur a demandé quel était le facteur le plus important pour justifier les dépenses en cybersécurité, 56 % des répondants ont déclaré une perte ou un vol d'informations.
Cela est d'autant plus vrai que les consommateurs demandent aux entreprises de protéger activement leurs données. Selon un sondage récent mené par IBM, 78 % des personnes interrogées affirment que la capacité d'une entreprise à préserver la confidentialité de ses données est extrêmement importante et seulement 20 % d'entre elles font totalement confiance aux organisations avec lesquelles elles interagissent pour préserver la confidentialité de leurs données.
Source : IBM
Et vous ?
Que pensez-vous des résultats de cette étude ?
Votre entreprise dispose-t-elle de plan de défense contre les cyberattaques ?
Comment la cyber-résilience est-elle gérée dans votre entreprise ?
Voir aussi
Facebook devrait faire l'acquisition d'une importante entreprise de cybersécurité selon un rapport qui cite des sources internes
Les chefs d'entreprise US s'inquièteraient plus de la cybersécurité que d'une possible récession à l'inverse de leurs homologues européens
Cybersécurité : 87 % des attaques ciblées sont évitées, mais leur nombre a doublé en 2018, d'après une étude d'Accenture sur les grandes entreprises
Les salaires des professionnels de la cybersécurité connaitront une nette hausse cette année selon une nouvelle étude sur le sujet
Étude : 77 % des organisations n'ont pas de plan de réponse aux incidents de cybersécurité
Celles qui en possèdent ne les testent pas régulièrement
Étude : 77 % des organisations n'ont pas de plan de réponse aux incidents de cybersécurité
Celles qui en possèdent ne les testent pas régulièrement
Le , par Bill Fassinou
Une erreur dans cette actualité ? Signalez-nous-la !