Dans l’ensemble, les organisations ont amélioré leur capacité à résister aux attaques, si bien qu’aujourd’hui elles en repoussent chaque jour plusieurs milliers. Cependant les cyberattaques ne cessent de se sophistiquer, et si les protections et mesures de contrôle 86% se révèlent aujourd’hui efficaces contre de simples dénis de service ou virus, elles ne sont souvent pas suffisantes pour lutter contre des attaques sophistiquées réitérées. • L’année dernière, 88% des répondants déclaraient que leur programme de cybersécurité ne répondait pas pleinement aux besoins de leur organisation. Avec 86% cette année, des répondants déclarent cette perception reste largement partagée, signe que les mesures prises par les que leur programme de cybersécurité organisations ne sont toujours pas suffisantes pour faire face à l’aggravation de la ne répond pas pleinement aux besoins situation. de leur organisation. Réévaluer ses risques Comme en 2013 et 2014, près de la moitié des répondants (48%) déclarent que l’obsolescence de leur système de protection est une importante source de vulnérabilité. Pour mémoire, l’année 2015 s’était distinguée par un regain significatif de confiance, puisque seuls 34% d’entre eux partageaient cette opinion. Cette confiance a donc été de courte durée face à l’accroissement des risques liés aux comportements de salariés non sensibilisés aux enjeux de cybersécurité et à l’apparition de nouvelles techniques ciblant spécifiquement les erreurs humaines. Cette année, on constate donc une réévaluation de l’exposition aux risques des organisations. Alors qu’elles affichaient un véritable optimisme en 2015, il semblerait qu’après une phase de rodage de leurs systèmes, elles aient finalement véritablement pris conscience de la nature de la menace. Au cours de ces 12 derniers mois, quelles menaces/vulnérabilités ont augmenté votre exposition au risque ? Le tableau présente les pourcentages des réponses notées 1 (la plus élevée) et 2 (élevée), de 2013 à 2016. 2013 2014 2015 2016 Vulnérabilités Salariés non sensibilisés 53% 57% 44% 55% Systèmes obsolètes 51% 52% 34% 48% Accès sans autorisation 34% 34% 32% 54% Menaces Logiciels malveillants 41% 34% 43% 52% Phishing 39% 39% 44% 51% Cyberattaques conçues pour voler des informations financières 46% 51% 33% 45% Cyberattaques conçues pour voler des données ou de la propriété 41% 44% 30% 42% intellectuelle Attaques en interne 28% 31% 27% 33% e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 13
Cap sur la cyberrésilience : anticiper, résister, réagir Page 12 Page 14