Sécurité : le cyber-risque augmente, les budgets ne suivent pas

Malgré l’ambition affichée, les entreprises peinent à mettre en œuvre des mesures stratégiques pour sécuriser leurs données critiques, rapporte NTT Security.

La filiale du groupe japonais NTT a livré son rapport mondial sur le risque et la valeur de la sécurité pour les dirigeants de grandes entreprises (« Risk:Value 2019 »).

À leurs yeux, trois des cinq principaux risques qui menacent leur entreprise concernent la cybersécurité. Il s’agit des cyberattaques (citées par 43% des répondants), de la perte ou du vol de données (37%) et des attaques sur l’infrastructure critique (35%). Les crises économiques et financières (51%) et la pénurie de compétences (31%) suivent.

Dans ce contexte, 88% des répondants estiment que des mesures de cybersécurité fortes sont nécessaires pour renforcer la résilience de l’entreprise face au risque.

Or, les organisations tardent à déployer et mettre à niveau les mesures qui s’imposent.

Cette année 2019, l’indice Risk:Value de NTT Security (outil de mesure des bonnes pratiques de cybersécurité) plafonne en moyenne au score de +3 sur une échelle de -41 à +27. Près d’un tiers des organisations affiche même un score négatif.

En bref, les données critiques ne sont pas davantage protégées que l’an dernier.

Des données critiques trop peu protégées

Les entreprises qui déclarent avoir sécurisé toutes leurs données critiques sont minoritaires. Elles sont 48% pour l’ensemble du panel et 44% en France.

Ce taux chute même à 33% dans le secteur transport/logistique.

En revanche, 58% déclarent disposer d’une politique formelle de sécurité informatique. Un taux en hausse de un point par rapport à l’an dernier.

Par ailleurs, 52% disent s’appuyer sur un plan de réponse aux incidents. Mais les collaborateurs ne sont pas tous informés. Malgré l’extension de la surface d’attaques et l’entrée en vigueur en mai 2018 du Règlement général sur la protection des données (RGPD).

Or, 83% des décideurs estiment qu’il est important d’être en conformité. Pourtant, 30% seulement pensent être concernés par le RGPD. Alors même que le texte s’applique à toutes les entreprises qui ont une activité ou des clients dans l’Union européenne.

Le cyber-risque s’accroît, mais les budgets de sécurité ne suivent pas toujours.

15% des bugdets IT

En 2019, 15% des bugdets IT sont consacrés à la sécurité de l’information. C’est seulement un point de plus par rapport à 2018.

Qui est en charge ?

23% déclarent qu’un responsable de la sécurité des systèmes d’information (RSSI) assure la sécurité IT quotidienne de leur entreprise.

En France, 46% des professionnels interrogés pensent que la cybersécurité « est le problème du département informatique et non de l’entreprise dans son ensemble. »

Globalement, 84% estiment que leur Comex devrait investir la thématique.

Où va l’argent ?

Pour couvrir le risque, 48% des organisations disent avoir contracté une police de cyber-assurance dédiée. 23% disent avoir initié des démarches en ce sens.

La grande majorité a opté pour une couverture de risques spécifiques (contre la perte de données et/ou les pertes financières liées à une cyberattaque).

Mais, 43% redoutent qu’un défaut de maintenance ou de mise à jour du SI existant n’invalide leur police de cyber-assurance.

Or, le temps de reprise d’activité suite à un incident de sécurité augmente. Il est en moyenne de 66 jours (49 jours en France), soit 9 jours supplémentaires (10 jours en France) par rapport à 2018. Et ces délais peuvent coûter cher aux entreprises, selon le rapport.

Le coût de cette reprise d’activité atteint en moyenne 1 million d’euros par entité dans le monde (690 000 euros en France). Le taux estimé de perte de chiffre d’affaires en cas de compromission est lui de 10,4% en France et de 12,7% pour l’ensemble du panel en 2019.

_{(crédit photo de une : Ecole polytechnique / Paris / France on Visual hunt / CC BY-SA)}