L’étude, menée auprès de 1.755 organisations dans 67 pays, analyse certaines des questions de sécurité les plus significatives auxquelles les entreprises sont actuellement confrontées. Cette étude met en évidence que 88% des entreprises estiment leur structure de sécurité de l’information comme ne répondant pas totalement à leurs besoins. En ce qui concerne les budgets en matière de sécurité de l’information, 69% des entreprises concèdent qu’une augmentation allant jusqu’à 50% serait nécessaire afin d’aligner les besoins en protection de leur entreprise avec la tolérance au risque de la part de la direction.

L’origine des attaques informatiques les plus vraisemblables sont les suivantes : les syndicats du crime (59%), les hackers malveillants (54%) et enfin les groupes soutenus par des états (35%). Dans le cadre de l’étude réalisée l’an dernier, les sondés s’étaient prononcés dans les proportions suivantes au sujet de ces trois mêmes sources, à savoir 53%, 46% et 27%.

Brice Lecoustey, à la tête du département Conseil pour le secteur commercial et public chez EY Luxembourg, commente: « Les entreprises abordent le monde numérique avec enthousiasme mais se doivent également d’améliorer simultanément et significativement leur gestion des attaques informatiques toujours plus sophistiquées. Les entreprises ne devraient pas négliger, voire sous-estimer, les risques potentiels induits par des failles dans la cyber-sécurité. Au contraire, ils devraient se concentrer très précisément sur la cyber-sécurité et y consentir les investissements nécessaires. La seule façon de rendre le monde digital totalement opérationnel et durable est de permettre aux entreprises de se protéger ainsi que de protéger leurs clients et également d’instaurer la confiance à l’égard de leur marque.

Au Luxembourg, à l’heure actuelle, les entreprises tirent activement avantage du monde numérique. Simultanément, les nouvelles menaces et vulnérabilités deviennent réalité et ne devraient pas être négligées par les directions malgré leur lassitude toujours plus prononcée à l’égard des investissements en cyber-sécurité. Ceci se traduit par un budget stable ou en baisse en comparaison de celui de l’an dernier. Le monde numérique requiert une attention constante en termes de cyber-sécurité. Certains pourraient ne pas identifier la nécessité d’y investir davantage, à moins d’être sérieusement touchés  par un incident de sécurité. Objectivement, la course n’est pas perdue mais elle ne prendra jamais fin non plus ».

Vulnérabilités et menaces: un changement de perception

L’étude met en évidence une vulnérabilité moindre de la part des entreprises face aux attaques émanant d’employés mal informés (44%) et celles dues à l’obsolescence des systèmes (34%); en baisse en comparaison de l’étude précédente (soit respectivement 57% et 52% en 2014). A l’heure actuelle, les entreprises se sentent toutefois davantage menacées par le phishing et les logiciels malveillants. En effet, 44% des sondés (en comparaison de 39% en 2014) ont classé le phishing comme leur menace principale, 43% considèrent les logiciels malveillants comme étant la menace principale pour leur entreprises contre 34% en 2014.

L’étude souligne également que les organisations sont prises de court quand il s’agit de contrecarrer une attaque informatique:

• 54% indiquent ne pas avoir de fonction dédiée aux nouvelles technologies et à leur incidence au sein de leur entreprise
• 47% ne disposent pas d’un centre de gestion de la sécurité
• 36% ne disposent pas d’un programme de renseignements en matière de menace et 18% ne disposent d’aucun programme de gestion de l’identité et des accès.

Plus de la moitié (57%) indique que la contribution et la valeur de la fonction de sécurité de l’information apportées à leur organisation sont compromises par le manque de talents qualifiés disponibles, ce qui était problématique pour 53% seulement des entreprises en 2014, trahissant davantage une détérioration de la situation qu’une amélioration.
Olivier Maréchal, à la tête du département Conseil pour le secteur financier chez EY Luxembourg, poursuit: « La sécurité de l’information est foncièrement un moyen de défense mais les organisations ne devraient pas attendre de devenir des victimes. Au contraire, ils devraient adopter une posture de défense active, avec des centres avancés de gestion de la sécurité destinés à identifier les « agresseurs » potentiels ainsi qu’à analyser, évaluer et neutraliser les menaces avant que des dommages ne surviennent. Il est essentiel pour les organisations d’envisager la cyber-sécurité comme un levier pour gagner et conserver la confiance des clients.

Le secteur des services financiers et le secteur technologique convergent très rapidement. Une sécurité de l'information solide  est un prérequis à tout succès financier. Le poids du secteur financier dans l'économie luxembourgeoise rend le pays très vulnérable aux cyber-attaques. Les dispositifs intelligents (smartphones et tablettes), les médias sociaux, le cloud ainsi que les développements induits par la réglementation tels que l'échange automatique d'information accroissent encore cette vulnérabilité. Définir la propension au risque et investir dans les bonnes lignes de défense en matière de sécurité s'imposent plus que jamais pour tous les acteurs du secteur des services financiers ».