A l’heure actuelle, les récriminations relatives aux interventions de certains états sont également de plus en plus nombreuses. Cette étude, menée auprès de 1.400 cadres supérieurs spécialisés en cyber-sécurité et en gestion du risque issus des plus grandes organisations à l’échelle mondiale (ayant des revenus allant de moins de 10 million USD à 10 milliards USD), analyse certaines des questions les plus préoccupantes en matière de cyber-sécurité, et les efforts consentis par les organisations afin de les gérer.

Selon les résultats de l’étude, 87% des organisations conduisent leurs activités en allouant un budget limité en comparaison des niveaux de cyber-sécurité et de résilience dont ils ont besoin. Pour 55% des organisations, la protection de l’organisation ne fait pas partie intégrante de leur stratégie commerciale et de leurs plans d’exécution de manière générale. Fait surprenant, les grandes organisations sont davantage susceptibles de connaître des manquements à ce sujet que des plus petites (58% contre 54%). Cependant, les budgets consacrés à la cyber-sécurité connaissent une augmentation, les plus grandes entreprises étant plus susceptibles de les augmenter cette année (63%) et l’an prochain (67%) que les plus petites (respectivement 50% et 66%).

La majorité des organisations (77%) cherchent à disposer de protections plus avancées en matière de cyber-sécurité, via notamment l’adoption de technologies avancées telles que, entre autres, l’intelligence artificielle, l’automatisation de procédés et l’analyse de données. Ces entreprises continuent à se focaliser sur leurs principes de base en matière de cyber-sécurité, mais repensent également leur cadre et architecture de cyber-sécurité afin de supporter plus efficacement la conduite de leurs activités. L’étude a cependant mis en évidence le fait que 8% seulement des sondés avaient l’impression que leur fonction de sécurité de l’information répondait totalement à leurs besoins. Pour respectivement 78% et 65% des grandes et petites entreprises, leur fonction de sécurité de l’information répond au moins partiellement à leurs besoins.

Toutes les organisations sondées traversent une phase de projets de transformation numérique et augmentent leurs dépenses en technologies émergentes. L’étude révèle que le cloud computing (52%), l’analyse de données liées à la cyber-sécurité (38%) et l’informatique mobile (33%) sont les priorités essentielles des investissements en cyber-sécurité dans les technologies émergentes cette année.

Paul van Kessel, responsable mondial du département Conseil en cyber-sécurité, commente : « A l’heure actuelle, les organisations investissent dans les technologies émergentes qui font partie de leurs programmes de transformation numérique. Ces technologies ont créé de nombreuses nouvelles possibilités, mais ont aussi engendré de nouvelles vulnérabilités et menaces. Les organisations devraient avoir conscience de l’importance capitale du niveau de confiance de leurs clients dans le succès de leurs programmes de transformation. Pour gagner cette confiance, la cyber-sécurité doit être intégrée dans l’ADN de l’organisation, plus particulièrement en commençant par l’intégrer à part entière dans la stratégie commerciale ».

Les employés négligents ou mal informés sont classés comme la vulnérabilité la plus importante et la plupart des organisations sont susceptibles de ne pas identifier toutes les failles ou les incidents

Les organisations concèdent ne pas souhaiter augmenter le niveau de leurs pratiques en matière de cyber-sécurité ou dépenser davantage en la matière sauf si elles ont subi les conséquences d’une faille ou d’un incident qui ont causé des impacts très négatifs. Selon l’étude, les vulnérabilités les plus porteuses de risque sont les employés négligents/ mal informés (34%), les contrôles de sécurité dépassés (26%), les accès non 

autorisés (13%) et ceux liés à l’utilisation du cloud (10%). 8% seulement estiment que leur fonction de sécurité répond totalement à leurs besoins et 38% des sondés ne sont pas susceptibles de détecter une faille sophistiquée alors que moins de 10% pensent qu’ils ont des systèmes de sécurité matures. Toutefois, de nombreuses organisations (82%) n’indiquent pas clairement si elles ont été en mesure d’identifier avec succès les failles et les incidents. Parmi les organisations touchées par un incident au cours de l’année écoulée, moins d’un tiers (31%) indiquent qu’un tel incident a été découvert par leur centre de sécurité.

La Cyber-sécurité n’exerce pas une réelle influence sur les plans stratégiques des organisations, la personne en ayant la charge n’étant pas membre du conseil d’administration

Les entreprises sont désormais convaincues qu’il est impératif, pour réussir dans cette ère numérique, de suivre les risques liés à la cyber-sécurité et de s’y consacrer dès le départ. Il ressort de l’étude que 18% seulement des organisations citent la sécurité de l’information comme un élément influençant fortement les plans de stratégie commerciale au quotidien alors que 60% des organisations indiquent que la personne directement responsable de la sécurité de l’information n’est pas membre du conseil d’administration. 70% des organisations (respectivement 73% et 68% des grandes et plus petites organisations) indiquent toutefois que les membres de leur haute direction ont une bonne compréhension de la sécurité et prennent les actions qui s’imposent pour l’améliorer.

Thomas Koch, Cybersecurity Leader chez EY Luxembourg, commente : « La cyber-sécurité commence à attirer l’attention qu’elle mérite, les cyber-risques faisant de plus en plus partie intégrante des décisions stratégiques prises par les organisations. Une approche basée sur le principe de sécurité intégrée par défaut, et ce dès la conception « privacy by design », une gestion des « cyber-crises », va déterminer la capacité d’une organisation à résister adéquatement et à réagir à une cyber-attaque. Cette résilience revêtira un caractère primordial pour stimuler l’utilisation de nouvelles technologies et saisir les opportunités qui se présentent ».

Plus d’informations sur :  ey.com/giss.