Les entreprises de la cybersécurité : un parcours de combattant avant d’atteindre l’idéal
En début du mois de mars dernier, le Club des Experts de la Sécurité de l’Information en abrégé CESIN publiait un rapport en début du mois de mars.
Ce rapport faisait l’état des lieux les différentes pratiques et réflexions émanant des responsables de la sécurité informatique. Ce rapport a démontré d’une première part que les attaques informatiques ont connu une certaine sophistication. Dans un second lieu, il mettait en évidence certaines mauvaises pratiques qui continuent d’être adopté par les entreprises en matière de cybersécurité. Ce qui notamment à faciliter l’expansion des logiciels malveillants de rançonnage.
Cet article va aussi vous intéresser : Les pirates informatiques en quête de failles de sécurité à exploiter
Il faut noter qu’en 2019, le club des experts de la sécurité et de l’information avait lancé son enquête annuelle qui portait sur une étude dirigée à l’encontre des personnels chargés de la cybersécurité des aux entreprises. En l’associe au résultat du rapport publié en mars 2020, nous nous sommes rendu compte une très grande partie des bonnes pratiques qui avaient été conseillée dans le précédent rapport ne sont toujours pas appliquée au sein des sociétés. Et cela malgré l’actualité qui est constamment abreuvé par des incidents liés à la sécurité ou à la mauvaise gestion de données.
Bon son étude, le CESIN a mis en évidence que 51% des responsables en charge de la sécurité informatique sont prêts à céder au chantage s’ils sont prisonniers d’un logiciel de rançonnage. Pourtant comme nous le savons, payer la rançon ne signifie pas que les données seront restaurer comme avant. L’étude a part ailleurs démontrer que 7 pourcents des entreprises qui ont été interrogé n’utilise presque pas de solution antivirus au détriment de la solution EDR pour Endpoint detection and response, plutôt que de faire jouer la complémentarité des outils de cybersécurité.
« La mise en place de politiques « zéro trust », au cœur des enjeux métiers actuels puisqu’elle implique de repenser les process et la gestion des droits d’accès des utilisateurs, n’est engagée que dans 6% des entreprises selon le rapport. Pire : près de 80% d’entre elles sécurisent insuffisamment les devices personnels dans le cadre du Bring Your Own Device (BYOD), qui est aujourd’hui largement démocratisé malgré les interdictions. », explique Jacques-Bruno Delaroche, Ingénieur Avant-vente en matière de Cybersécurité chez Exclusive Networks.
« Près d’une entreprise sur deux n’a mis aucune mesure en œuvre pour bloquer l’utilisation de solutions de stockage en ligne comme Google Drive, Dropbox ou OneDrive ; seulement 2% des interrogés ont engagé une approche « sans mot de passe » en implémentant de nouvelles méthodes d’authentification et à peine 12% d’entre eux ont revu leur démarche de sécurisation via un process de « Security by design » », ajoute ce dernier.
De plus, l’étude de CESIN démontre que 45 % les entreprises n’ont qu’un simple système de sauvegarde basique. C’est même entrepris n’ont pas encore acquis la maîtrise fiable des mises à jour sécuritaire de leur machine. En dépit du nombre de cyberattaques qui ne cesse d’augmenter, 54 % des entreprises n’ont toujours pas renforcé leur protocole et dispositif de sécurité.
« Le rapport du CESIN révèle un état des lieux alarmiste de la progression de la cybersécurité au sein des entreprises. Faut-il pour autant en conclure que la prise de conscience de l’importance de la cybersécurité, après les dégâts causés entre autres par Wannacry, est retombée comme un soufflet ? Pas nécessairement. Ce sondage est très intéressant puisque ce qu’il interroge les DSI sur des situations potentielles : il permet de cartographier la pénétration de termes de cybersécurité comme l’EDR ou le zéro trust. Néanmoins, il traite d’intentions, et non d’actions réelles : le format de ses questions, proposant aux interrogés d’anticiper une situation qu’ils n’ont jamais eu à affronter, est en fait davantage un micro-trottoir qu’un état des lieux fidèle à la réalité. », déclare Jacques-Bruno Delaroche. « Il est toujours complexe de quantifier les progrès à accomplir en termes de cybersécurité : le chemin qu’il reste à parcourir pour les entreprises est sans fin, puisque la cybersécurité est un investissement continu fondé sur un jeu du chat et de la souris avec les hackeurs. », ajoute ce dernier.
La balle est donc dans le camp des entreprises.
Accédez maintenant à un nombre illimité de mot de passe :