Les entreprises et la sécurité informatique : une question de dépenses que de protection
Pour faire plus simple, les entreprises considèrent la sécurité informatique comme source de dépenses au supplémentaires.
Pourtant, depuis quelques années, on assiste de plus en plus à la multiplication des cyberattaques, plus ou moins spectaculaire avec des portées financières très lourde. Si les entreprises et les organisations publiques sont au fait de la menace informatique et de tout ce que cela peut entraîner, il n’en demeure pas moins que l’effort reste toujours minimaliste.
Cet article va aussi vous intéresser : La sécurisation des entreprises à travers la protection des infrastructures Cloud
« On constate que la capacité des cybercriminels croît plus vite que la capacité de l’ensemble des organisations à se protéger », déclare Henri d’Agrain, le délégué général du Cigref, association française qui représente les grandes entreprises et administrations qui utilisent les services numériques. « Si on continue comme ça, dans dix ans c’est le chaos dans l’espace numérique », regrette ce dernier.
Selon Henry d’Agrain, les entreprises même si elles sont sécurisées au maximum ont du mal généralement à tenir le rythme en imposé par la cybermalveillance, surtout avec les découvertes incessantes de vulnérabilités et les efforts déployés pour les colmater
« Un industriel reconnu opérateur d’importance vitale (soumis par la loi à de strictes obligations de sécurité, ndlr) nous expliquait récemment que compte tenu du rythme actuel de découverte des vulnérabilités et du temps nécessaire pour la remédiation, il y avait toujours en permanence trois-quatre failles qui restent ouvertes » aux attaquants, Précise le délégué.
Un responsable de sécurité de système d’information d’une grande entreprise a reconnu sous le couvert de l’anonymat l’usure qui était la leur. Et que d’une certaine manière cet épuisement était généralisée à la communauté professionnelle de la cybersécurité.
« C’est épuisant, toutes les semaines on a une grosse vulnérabilité à laquelle il faut remédier en urgence » Note ce dernier. « Et il y a de plus en plus d’incidents chez les partenaires, les sociétés de services informatiques ou éditeurs des logiciels dont l’entreprise est cliente. Je travaille dans une grosse société, j’ai des équipes, mais je n’imagine même pas comment les petites sociétés font », affirme ce dernier.
Quand on observe de manière objective, le secteur du numérique a connu un certain emballement. Plus d’organisation ont commencé à migrer vers une numérisation beaucoup plus accrue des services. Cela a ouvert à beaucoup de possibilités et faciliter beaucoup d’offres de prestation de service. En même temps la faille de sécurité est demeurée. Le risque informatique démultiplié.
« Dans le numérique, on tolère un niveau de vulnérabilité qu’on ne tolérerait pas dans les transports ou dans l’agro-alimentaire », note un haut-fonctionnaire et ancien professionnel du secteur du numérique. « Les gens du numérique le savent, mais il y a une sorte de fatalisme devant l’impossibilité de se faire entendre de directions générales et de décideurs qui persistent à considérer la sécurité comme une source de coûts alors qu’elle est au contraire à mettre à l’actif de l’entreprise » explique ce dernier.
« On fait reposer notre société sur un ensemble de technologies numériques qu’il va falloir qu’on apprenne à sécuriser. Peut-être qu’on n’est qu’au début, comme on l’était au début de l’aéronautique, lorsqu’il a fallu apprendre à fiabiliser les avions » explorer Bernard Barbier, un ex directeur technique de la DGSE. Il ajoute en se fondant sur le protocole de internet qui à la base n’a pas été conçu pour avoir une communication sécurisée.
Le Cigref de son côté fait la promotion de l’adoption de nouvelles normes ou encore de label qui permet de fournir des solutions informatiques beaucoup plus sécurisés aux entreprises.
« Il faut reprendre les méthodes de développement pour qu’au moins les nouveaux produits repartent sur des bases saines », déclare Henri d’Agrain, qui met en avant le principe de « sécurité dès la conception » (Security by design).
« Il y a des référentiels qu’il faut faire évoluer et développer, et rendre obligatoire, a minima en Europe, quand on met sur le marché des applications numériques », Note ce dernier.
Dans de tels contextes il est demandé une intervention beaucoup plus robuste de l’État pour combattre la cybercriminalité. Histoire pour que le gouvernement met en place des systèmes adaptés, à l’évolution des menaces informatiques.
Accédez maintenant à un nombre illimité de mot de passe :