Les sociétés ne disposent pas de la souplesse, du budget et des compétences nécessaires afin d’atténuer les vulnérabilités connues et d’être efficacement préparées en matière de sécurité cyber et pouvoir ainsi traiter tout incident. 43% des sondés indiquent que leur budget total dédié à la sécurité de l’information restera globalement identique au cours des 12 prochains mois en dépit des menaces grandissantes.

Cet état de fait représente seulement une amélioration marginale en comparaison de l’édition 2013 où 46% d’entre eux mentionnaient des budgets inchangés. Au Luxembourg, 53% des sondés ont l’intention d’augmenter de plus de 5% leur budget en matière de sécurité de l’information. Plus de la moitié des sondés (53%) relève que le manque de ressources qualifiées constitue l’un des principaux éléments susceptible de porter préjudice à leur programme de sécurité de l’information. 5% seulement des sociétés participant à l’étude disposent d’une équipe d’analystes dédiés à l’évaluation de la menace.

Ces chiffres ne présentent pas de différence significative avec l’étude de 2013, où 50% des sondés mettaient en évidence le manque de ressources qualifiées et 4% d’entre eux mentionnaient l’existence de cette équipe dédiée. Au Luxembourg, 54% des sondés ont relevé un manque de ressources qualifiées, dont 6% disposent d’une équipe d’évaluation des menaces et 35% concèdent ne pas être dotés d’un programme d’évaluation des menaces.

La négligence des employés tout autant que leur prise de conscience insuffisante des risques représente la plus importante vulnérabilité à laquelle les sociétés sont confrontées. 38% des sondés en font leur première priorité. « Des contrôles et une architecture de sécurité de l’information de conception vieillissante », ainsi que l’utilisation du « cloud computing » arrivent respectivement en seconde et troisième positions (35% et 17%).

Au Luxembourg, 43% des sociétés sondées considèrent l’utilisation de l’informatique mobile comme leur vulnérabilité majeure (40%), suivie « de contrôles et d’une architecture de sécurité de l’information de conception vieillissante » (40%), et de l’accès non autorisé aux données qui arrive en troisième position (25%). Le vol d’informations financières, la perturbation ou la mise hors-jeu de l’organisation ainsi que le vol de donnés intellectuelles représentent les trois menaces majeures (respectivement, 28%, 25% et 20%). Au Luxembourg, les menaces principales sont notamment le phishing (25%), les logiciels malveillants (20%) et la fraude (17%).

L’étude de cette année met en évidence le fait que les entreprises doivent effectuer un meilleur travail d’anticipation des attaques dans un environnement où il n’est désormais plus possible de se prémunir contre toutes les failles cyber, et où les menaces émanent de sources toujours plus variées et bien financées.

Brice Lecoustey, à la tête du département Advisory pour le secteur commercial et public chez EY Luxembourg, commente: «Les entreprises seront en mesure de développer une stratégie de gestion des risques d’avenir seulement si elles comprennent comment se prémunir de la cybercriminalité. L’ampleur de ces attaques cyber peut potentiellement être considérable – non seulement sur le plan financier mais également en termes de dommages causés à la marque et à la réputation, la perte d’avantage concurrentiel et la non-conformité réglementaire. Les entreprises doivent adopter une attitude proactive plutôt qu’une attitude uniquement réactive, les faisant dès lors évoluer de cibles faciles pour les cybercriminels vers de redoutables adversaires. Trop d’entreprises ne réussissent pas toujours à maîtriser les éléments fondamentaux de la cyber-sécurité. Outre un manque d’attention à la tête de l’entreprise et un manque de procédures et de pratiques bien définies, un trop grand nombre d’entreprises auprès desquelles nous avons conduit notre étude ne disposent pas d’un centre de gestion de la sécurité des opérations ».

Ce rapport encourage les entreprises à considérer la cyber-sécurité comme une capacité concurrentielle essentielle. Afin d’atteindre cet objectif, l’entreprise est tenue de se maintenir dans un état permanent de préparation, d’anticiper de nouvelles menaces éventuelles et de perdre cet état d’esprit de « victime » devant conduire ses activités dans un état d’anxiété permanent. Afin d’arriver à ce niveau de préparation, les recommandations de ce rapport sont les suivantes:

• Etre attentif aux nouvelles menaces: La direction doit traiter les menaces/risques cyber comme étant une problématique essentielle à la conduite de leurs affaires ainsi que mettre en œuvre un processus dynamique de prise de décisions afin d’entreprendre rapidement des actions préventives.
• Appréhender l’environnement de menaces: les entreprises doivent démontrer une prise de conscience globale, quoique ciblée, de l’ensemble des menaces au sens large et de l’influence qu’elles peuvent avoir sur l’entreprise et investir dans la prévention de la menace cyber.
• Connaître vos « joyaux » : une connaissance de la part de toute l’entreprise des actifs ayant le plus de valeur pour la conduite des affaires et comment ils peuvent être hiérarchisés et protégés est nécessaire.
• Se concentrer sur les réponses à apporter lors d’incidents et de crise: Les entreprises devraient régulièrement vérifier leurs capacités.
• Apprendre et évoluer: l’analyse cyber est un élément essentiel du puzzle. Les entreprises devraient étudier attentivement les données issues d’incident et d’attaques, entretenir et envisager de nouvelles relations de collaboration ainsi que mettre à jour régulièrement leur stratégie.

Olivier Maréchal, à la tête du département Advisory pour le secteur financier chez EY Luxembourg, commente: « Au-delà des menaces internes, les entreprises doivent mener une réflexion plus large relative à leur « écosystème » commercial et à l’incidence potentielle de leurs relations avec des tiers et des vendeurs en matière de sécurité. C’est uniquement en atteignant un niveau avancé de préparation en matière de cyber-sécurité qu’une entreprise peut commencer à réellement bénéficier des investissements consentis dans ce domaine. En mettant en place les composants de base et en s’assurant que le programme est capable de s’adapter au changement, les sociétés peuvent commencer à prendre de l’avance sur la cybercriminalité, à mettre en place les moyens nécessaires avant qu’ils ne soient réellement nécessaires et à se préparer à faire face aux menaces avant qu’elles ne surviennent».