nouvelles

Reconsidérer le risque informatique

BT vient de publier les résultats d’une étude mondiale sur la cybersécurité en entreprise.

BT vient de publier les résultats d’une étude mondiale sur la cybersécurité en entreprise. Ce travail de fond, mené auprès de plus de 500 entreprises dans le monde entier, offre de nombreux enseignements sur la place stratégique acquise par les questions de sécurité IT, et met en lumière de fortes disparités en termes d’appréhension et de perception du risque.

Dans un paysage IT plus consumérisé que jamais, le périmètre couvert par les solutions technologiques ne cesse de s’étendre. Des environnements potentiellement privés ou stratégiques se trouvent ainsi intégrés de fait dans le système d’information de l’entreprise. Dans ce contexte, et alors que bon nombre d’utilisateurs de ces solutions ne mesurent pas nécessairement les implications de leurs pratiques en matière de sécurité informatique, c’est aux responsables IT de prendre, en amont, les mesures nécessaires afin de limiter les risques.

Problème, ces dispositifs, qu’ils soient d’ordre technologiques ou organisationnels, nécessitent une forte implication des équipes opérationnelles et un sponsoring important de la part des directions métier. Les enjeux financiers et logistiques sont en effet souvent lourds et peuvent paraître disproportionnés aux yeux d’une population peu au fait du cyber-risque. C’est pour mesurer la maturité des entreprises en matière d’appréhension du risque, et donc leur capacité à y faire face, que BT a interrogé plus de 500 décideurs IT dans
le monde. Les résultats de cette vaste étude sont édifiants et mettent en évidence un retard encore important – bien que variable en fonction des pays – en terme de prise de conscience du risque IT.

Le cyber-risque est une préoccupation majeure pour le CEO de mon entreprise.
L’étude met en lumière de très fortes disparités dans la façon dont les DSI perçoivent l’appréhension du risque par les dirigeants de leurs organisations.

Premier enseignement, et non des moindres, de cette étude : les dirigeants d’entreprises sont encore une stricte minorité à considérer la cybersécurité comme une priorité majeure. Un chiffre qui peut surprendre au lendemain du scandale Prism et qui cache de fortes disparités régionales : 44 % des CIO américains estiment que la sécurité figure parmi les priorités de leur hiérarchie alors qu’ils ne sont que 20 % à partager ce point de vue en Europe. Là encore, difficile de ne pas voir dans cette différence la marque du contexte tendu à l’époque entre les deux continents. Une nette majorité (58 %) des répondants s’accordent toutefois à estimer que leur entreprise sous-estime l’importance de la sécurité IT.

Une responsabilité trop peu partagée
Du côté des métiers, premiers utilisateurs des solutions mises en oeuvre et pilotées par la DSI, on semble considérer que l’intégrité des données et des terminaux est une évidence et qu’à défaut, leur sécurisation est du ressort du service informatique. Seuls 23 % des répondants estiment que leurs collègues non informaticiens considèrent la sécurité comme un véritable enjeu, et ils ne sont que 18 % à considérer que les équipes opérationnelles prennent en compte la question de la sécurité IT lors de la mise en oeuvre d’un projet d’entreprise.

Qui assume, en dernier ressort, la responsabilité en terme de cyber-risque dans votre entreprise ?
La responsabilité n’est pas équitablement répartie en cas de crise. Malgré une présence non négligeable des métiers, les CIO restent globalement les garants de la cybersécurité dans leur entreprise.


En cas de difficulté ou de crise majeure, ils sont 75 % à se tourner vers la DSI, contre seulement 9 % à considérer que celle-ci est du ressort de la direction générale. Les 16 % restants se répartissent entre différents responsables de service. Heureusement, la prise de conscience semble engagée, et de nombreuses entreprises ont entamé une véritable démarche de sensibilisation de leurs collaborateurs aux questions de sécurité. Il faut dire que la majorité des organisations considèrent que la principale menace qui pèse sur leur patrimoine informationnel provient de l’intérieur (qu’elle soit intentionnelle ou non), et que la sensibilisation régulière des utilisateurs aux enjeux de sécurité constitue la meilleure défense contre la perte ou le vol de données. La majorité (58 %) des entreprises interrogées organisent régulièrement des campagnes d’information et de sensibilisation à destination de leurs salariés, et seules 11 % n’ont pas l’intention de mettre en place ce type de programme. On peut donc raisonnablement s’attendre à ce que l’appropriation de la notion de risque conduise – à terme – à une meilleure répartition de la responsabilité en cas de crise. On note pourtant encore un important décalage entre
la perception du risque et les mesures effectivement mises en oeuvre pour prévenir ou limiter ses effets. De nouveau, de fortes disparités régionales se font jour : 59 % des entreprises américaines considèrent la sécurité IT comme un enjeu majeur tandis qu’elles ne sont que 28 % en Europe. Toutes s’accordent toutefois pour admettre la réalité du risque, à des niveaux divers. Elles ne sont cependant que 43 % à prendre des mesures actives et engagées pour garantir leur protection. En cause principalement, la grande volatilité des risques. Bon nombre de RSSI estiment ainsi que face à la multiplication et au renouvellement permanent des formes d’attaque, la réponse au risque doit davantage être traduite par des mesures organisationnelles que par des investissements technologiques.

Les cadres et le top management sont-ils sensibilisés à la question du cyber-risque ?
La mécanique est enclenchée. Une large majorité des cadres dirigeants sont actuellement formés au risque IT, et de nombreux programmes sont en cours ou prévus.

Dans l’idéal, quels chantiers mettriez-vous en oeuvre pour protéger votre entreprise des cyberattaques ?
Les responsables IT ne sont pas démunis face au cyber-risque. Interrogés sur les mesures préventives à mettre en oeuvre, ils focalisent leur attention sur une réponse mêlant technologie et sensibilisation des utilisateurs. 



Second point relevé par les répondants, la grande variété des menaces. Le risque accidentel, lié à une erreur interne, fi gure en première position des dangers perçus, et ce à l’échelle mondiale (65 %), mais il est talonné par l’hacktivisme (63 %), les malveillances (63 %) et le crime organisé (53 %). Les natures très diverses de ces menaces, qui appellent chacune une réponse spécifique, illustrent bien la difficulté de mettre en place une réponse adaptée. Et ce d’autant plus que la perception de ces risques varie encore une fois très fortement en fonction des régions du globe. Aux États-Unis par exemple, le risque terroriste est pris très au sérieux par les décideurs IT (72 %), mais nettement moins en Europe, et particulièrement au Royaume-Uni, où ils ne sont que 12 % à l’évoquer.

En termes de perspectives, cette fois, on constate une belle unanimité : plus de la moitié des répondants considèrent que les risques les plus susceptibles de s’aggraver au cours des douze prochains mois sont l’hacktivisme et les malveillances internes à l’entreprise.

Des réponses variées
Il est intéressant de noter que, contrairement à des tendances observées précédemment, le coût initial n’est plus un frein à l’adoption de solutions de sécurité. Le marché comme les dirigeants ont atteint un niveau de maturité suffisant pour envisager ces déploiements comme des investissements nécessaires, et la plupart des entreprises sont désormais capables de mesurer le ROI de leurs infrastructures. Une telle finesse dans l’analyse financière reste cependant l’apanage des États-Unis et de l’Allemagne (respectivement 90 et 88 % des entreprises mesurent le ROI de leurs solutions de sécurité), loin devant la France (64%) ou le Royaume-Uni (21 %), par exemple. À la question « dans un monde idéal, quels chantiers mettriez-vous en oeuvre pour protéger votre entreprise des cyberattaques », 75 % des décideurs interrogés citent la remise à niveau de leurs infrastructures de sécurité, juste devant la formation de l’ensemble des collaborateurs aux meilleures pratiques (74 %). La moitié des répondants envisagent de confi er à une entreprise tierce  de management de leur sécurité en l’engageant sur des SLA. Parmi les réponses les plus données, citons également le recours plus régulier à des listes blanches ou encore le
développement des environnements virtualisés, pour accroître l’étanchéité des systèmes.

On mesure bien, à la lecture des résultats de cette étude, l’importance de l’environnement géographique, économique, réglementaire mais également politique des entreprises dans leur appréhension du cyber-risque. La réponse à ces préoccupations doit donc nécessairement passer par une remise en perspective de la réalité de la menace, et par l’adoption de solutions parfaitement adaptées au périmètre de chaque organisation. Les entreprises, quelle que soit leur taille, ont tout intérêt à s’appuyer sur des compétences dédiées, à même de déployer une méthodologie complète et éprouvée, pour faire face à un risque plus mouvant que jamais.