Certaines entreprises n’ont toujours pas de plan contre les cybermenaces. Un nouveau rapport montre que malgré le fait que presque toutes les entreprises ont été confrontées à une cybermenace, certaines n’ont toujours pas de plan de cyberdéfense en place.
En savoir + sur la cybercriminalité.
Le rapport “2021 Future of Cyber Survey” de Deloitte se concentre sur la cybersécurité des entreprises aux États-Unis et établit des comparaisons avec les pratiques de cybersécurité des entreprises non américaines, selon le cabinet de conseil international.
Le rapport a été publié le mois dernier par Deloitte.
Des brèches généralisées et des personnes sans défense
Ainsi, la quasi-totalité des cadres américains (98 %) ont déclaré que leur entreprise avait subi au moins un cyber-événement au cours de l’année écoulée, contre un taux légèrement inférieur de 84 % pour les cadres non américains.
La perturbation de la pandémie COVID-19 a également entraîné une augmentation des cybermenaces pour les organisations des cadres américains (86%) à un taux considérablement plus élevé que celui des cadres non américains (63%).
Pourtant, 14% des cadres américains ont déclaré que leur entreprise n’avait pas de plan de défense contre les cybermenaces, un taux plus de deux fois supérieur à celui des cadres non-américains (6%).
Retombées de la cybermenace et obstacles
Les plus grandes retombées des cyberincidents ou des brèches dans leur entreprise au cours de l’année écoulée sont les suivantes : perturbation des opérations (28 %), chute du cours de l’action (24 %), changement de direction (23 %), vol de propriété intellectuelle (22 %) et perte de confiance des clients (22 %).
L’augmentation de la gestion, du périmètre et de la complexité des données (38 %), l’incapacité à s’adapter aux changements technologiques rapides (35 %) et la nécessité de mieux hiérarchiser les risques cybernétiques dans l’entreprise (31 %) sont autant d’obstacles aux programmes de gestion de la cybersécurité des dirigeants américains à l’échelle de l’entreprise.
“Aucun RSSI ou CSO n’a envie de dire aux parties prenantes de l’organisation que les efforts pour gérer le cyber-risque ne suivent pas la vitesse des transformations numériques effectuées ou l’amélioration des tactiques des mauvais acteurs”, a déclaré Deborah Golden, leader et principale, Deloitte Risk & Financial Advisory Cyber and Strategic Risk, Deloitte & Touche.
“Les transformations numériques agressives des organisations et la poursuite du travail à distance pour certains semblent mettre davantage en lumière le côté humain des cyber-événements – à la fois la pénurie de cyber-talents et le risque potentiel que peuvent représenter les employés bien intentionnés. Nous voyons des organisations de premier plan se tourner vers les technologies avancées pour aider à combler ces lacunes.”
Principales conclusions de l’enquête “2021 Future Of Cyber Survey” (en anglais)
Pénurie de talents
La concurrence pour les cybercompétents reste féroce, en particulier aux États-Unis, puisque 31 % des cadres américains déclarent que leur entreprise est souvent incapable de recruter et de retenir les cybercompétents – un taux presque deux fois supérieur à celui des cadres non américains (16 %).
Ennemi intérieur
La cybermenace qui inquiète le plus les cadres américains n’est pas le phishing, les logiciels malveillants ou les rançongiciels (27 %), mais les actions involontaires d’employés bien intentionnés (28 %).
Pourtant, 15 % des cadres américains déclarent que leur entreprise n’a aucun moyen de détecter ou d’atténuer les indicateurs de cyberrisque des employés.
44 % déclarent que leur entreprise s’en remet à la direction pour surveiller les comportements des employés et les indicateurs de cyber-risque.
41 % seulement disent que leur organisation utilise des outils automatisés d’analyse du comportement pour aider à détecter les indicateurs de risque potentiels chez les employés.
Confiance
L’adoption de la confiance zéro continue de gagner du terrain. La priorité accordée à la confiance zéro par les dirigeants américains dans le cadre de la transformation des capacités de sécurité de leur organisation vient juste après le renforcement de la cyber-résilience et de la résilience technique, alors que la confiance zéro est loin d’être une priorité aussi élevée (classée n° 7) pour les répondants non américains.
La protection des données (53 % des cadres américains ; 43 % des cadres non américains) et la confidentialité des données (41 % des cadres américains ; 42 % des cadres non américains) sont les projets de sécurité les plus importants pour les cadres du monde entier.
Bien que la perte de confiance des clients résultant d’un cyber-événement figure en tête de liste avec 22 % des cadres américains et 16 % des cadres non-américains, 19 % des cadres américains déclarent que leurs organisations de marketing équilibrent ” très bien ” la nécessité de collecter des données sur les clients et de susciter leur confiance, contre 60 % des cadres non-américains qui sont du même avis.
Visibilité interne
La cybercriminalité est une préoccupation majeure pour les PDG et les conseils d’administration américains. Les cadres américains déclarent que les RSSI de leur organisation rendent compte directement au PDG (42 %), au directeur technique (19 %) ou au directeur informatique (16 %).
Presque tous (96 %) indiquent que la cybersécurité est à l’ordre du jour du conseil d’administration plus d’une fois par an, le plus souvent tous les trimestres (49 %) ou tous les mois (30 %).
En dehors des États-Unis, les cadres sont moins susceptibles de voir les RSSI rendre compte aux PDG (30 %), et la cybersécurité figure à l’ordre du jour du conseil d’administration plus d’une fois par an pour la plupart des cadres non américains (88 %), si la fréquence est trimestrielle (50 %) ou semestrielle (20 %).
Risque et réponse
Lorsque les dirigeants prennent des décisions sur les investissements en matière de cybersécurité, les cadres américains sont plus susceptibles de le faire en utilisant des outils de quantification des risques pour discerner le retour sur investissement (45 %), alors que les cadres non américains sont plus susceptibles d’utiliser des évaluations de la maturité cybernétique pour guider ces décisions (42 %).
Analyse des risques et modélisation des menaces pour la sécurité des applications nouvelles et existantes.