Les organisations prennent confiance dans leur capacité à anticiper les cybermenaces, mais des progrès restent à faire… 44% Au cours des dernières années, les organisations ont significativement amélioré leur sens de l’anticipation. Si elles sont nombreuses à avoir mis en place une stratégie de veille afin d’anticiper les menaces, certaines ont également eu recours à des centres des opérations de sécurité (Security Operations Center, SOC) et s’efforcent d’identifier et de gérer les des répondants n’ont pas de SOC vulnérabilités. Elles mettent en place ce que l’on appelle une « défense active ». Grâce à ces efforts, les organisations ont pris confiance en leur capacité à prévoir et à détecter des attaques sophistiquées : 50% d’entre elles déclarent être en mesure de le faire, le niveau de confiance le plus haut depuis 2013. Cependant, malgré ces avancées, notre étude démontre que trop peu d’organisations accordent le niveau d’attention requis aux principes élémentaires de cybersécurité. Ainsi chaque jour, elles placent leurs clients, leurs salariés et même leur propre avenir face à des 64% risques considérables : • 44% des répondants n’ont pas de SOC ; • 64% n’ont pas de stratégie de veille des cybermenaces, ou seulement de manière n’ont pas de stratégie de veille informelle ; des cybermenaces, ou seulement • 55% n’ont pas de programme d’identification des vulnérabilités, ou seulement de manière de manière informelle. informelle. Un incident s’est produit, mais il n’y a aucun dégât 62% des répondants déclarent qu’ils n’augmenteraient pas leurs dépenses de cybersécurité 62% suite à un incident sans dégâts apparents. Pourtant dans la plupart des cas, un dommage a bien été subi et il y a un préjudice, même si ce dernier n’est pas visible immédiatement. Les cybercriminels conduisent en effet souvent des attaques tests pour endormir la vigilance de leur victime ou créer des diversions pour les orienter dans la mauvaise voie. Chaque attaque cause des dégâts, et s’ils n’apparaissent pas immédiatement, c’est souvent n’augmenteraient pas leurs dépenses parce qu’ils n’ont pas encore été décelés. de cybersécurité suite à un incident sans dégâts apparents. Sécuriser son écosystème Dans un environnement 100% digital où tout est connecté, les attaques qui se produisent chez les clients, les fournisseurs ou les entités gouvernementales (l’écosystème) peuvent avoir un impact sur votre organisation. Or ces risques sont très souvent négligés : • 68% des répondants n’augmenteraient pas leur budget de cybersécurité si l’un de leurs fournisseurs était attaqué – pourtant le fournisseur constitue, pour l’attaquant, un accès direct à l’organisation ; • 58% n’augmenteraient pas leur budget si l’un de leurs concurrents majeurs était attaqué – pourtant les cybercriminels attaquent fréquemment des organisations similaires en matière d’infrastructures et de processus. Ils réutilisent les connaissances acquises lors d’attaques réussies. La faculté d’anticiper les menaces est bien plus efficace lorsque l’ensemble des incidents affectant l’écosystème est pris en compte. e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 9
Cap sur la cyberrésilience : anticiper, résister, réagir Page 8 Page 10