Comment rapidement rétablir les services de l’organisation ? 5% Pour être en mesure de soutenir l’activité pendant la phase d’adaptation et de réorganisation du système de défense, les directions informatiques et de la sécurité ont besoin d’acquérir une connaissance parfaite de la stratégie de l’organisation, de son appétence au risque et des dispositifs mis en place. affirment avoir changé récemment En faisant collaborer les stratèges de l’organisation et l’équipe sécurité, la stratégie de et significativement leurs plans cybersécurité peut être alignée sur la stratégie globale de l’organisation. stratégiques après avoir pris Malheureusement, notre étude montre que les connexions entre cybersécurité et stratégie conscience qu’ils étaient exposés demeurent insuffisantes. à de trop nombreux risques. • Seuls 5% des répondants affirment avoir changé récemment et significativement leurs plans stratégiques après avoir pris conscience qu’ils étaient exposés à de trop nombreux risques ; • Seuls 22% affirment qu’ils ont intégralement pris en compte les impacts des plans 79% stratégiques actuels sur la sécurité de l’information. Gestion interne des systèmes de cybersécurité : quels défis ? pratiquent l’auto-hameçonnage. Notre enquête révèle que les organisations préfèrent tester et assurer elles-mêmes la maintenance de leur système de cybersécurité : • 79% des répondants pratiquent l’auto-hameçonnage (self-phishing) ; • 64% déploient leurs propres tests d’intrusion ; • 81% effectuent leurs propres recherches d’incidents ; 81% • 83% analysent eux-mêmes les menaces et vulnérabilités. D’autre part, bien que la négligence des collaborateurs, le hameçonnage et les logiciels malveillants comptent parmi les menaces d’envergure bien connues, seuls 24% des effectuent leurs propres recherches répondants déclarent avoir mis en place des plans de défense pour y faire face. d’incidents. Phase de réaction : une priorité d’investissement Même si les répondants font de la phase de réaction une priorité majeure, les investissements financiers dans ce domaine restent relativement faibles. L’intérêt lié à cette phase de protection devrait donc prendre de l’ampleur à mesure que les organisations prendront conscience que toutes les menaces ne peuvent être anticipées. e 22 | 19 édition de l’étude EY sur la sécurité de l’information (2016)
Cap sur la cyberrésilience : anticiper, résister, réagir Page 21 Page 23