Les mains liées : la moitié des organisations déclarent que les cyberattaques sont à la hausse, mais les problèmes liés au manque de ressources persistent

Quatre-vingt pour cent des répondants à un sondage de l'ISACA s'attendent à ce qu'une cyberattaque frappe leur organisation au cours de l'année à venir, mais beaucoup restent mal préparés

ISACA's State of Cyber Security 2017 study found that the percentage of organizations with a CISO increased by 15 points from 2016. However, the percentage of organizations increasing their security budgets declined by 11 points. (Graphic: Business Wire)

???pagination.previous??? ???pagination.next???

ROLLING MEADOWS, Illinois--()--Les nouvelles menaces en constante évolution, associées aux défis constants en matière de ressources, limitent la capacité des organisations à se défendre contre les cyberintrusions, selon la deuxième partie de l'Étude 2017 de l'ISACA sur l'état de la cybersécurité (ISACA’s 2017 State of Cyber Security Study). Quatre-vingt pour cent des responsables de la sécurité ayant participé au sondage pensent qu'il est probable que leur entreprise subira une cyberattaque au cours de l'année à venir, mais de nombreuses organisations ont du mal à rester au fait des dernières menaces.

Plus de la moitié (53 %) des répondants au sondage ont rapporté une augmentation des cyberattaques en 2016 par rapport à l'année précédente, se traduisant à la fois par des changements en termes de points d'entrée des menaces et en termes de types de menaces :

  • l'IdO a dépassé le mobile en tant qu'objectif principal des cyberdéfenses, 97 % des organisations ayant constaté une augmentation de son utilisation. Au fur et à mesure que l'IdO devient de plus en plus répandu dans les organisations, les professionnels de la cybersécurité doivent s'assurer que des protocoles sont mis en place pour éviter l'apparition de nouveaux points d'entrée de menaces.
  • Soixante-deux pour cent des répondants ont déclaré avoir subi une expérience de rançongiciel en 2016, mais seulement 53 % avaient mis en place un processus officiel pour remédier à ce type d'attaque, ce qui est un chiffre inquiétant si l'on tient compte de l'impact international important qu'a représenté la récente attaque du rançongiciel WannaCry.
  • De manière générale, les attaques malveillantes susceptibles de représenter un danger pour les opérations d'une organisation ou les données des utilisateurs restent élevées (78 % des organisations ayant rapporté des attaques).

De plus, seulement une organisation sur trois (31 %) déclare tester systématiquement ses contrôles de sécurité, et 13 % ne les testent jamais. Seize pour cent n'ont pas mis en place de plan d'intervention en cas d'incident.

« On constate un écart important et inquiétant entre les menaces auxquelles les organisations sont confrontées et la volonté de ces dernières de traiter ces menaces de manière opportune ou efficace », a déclaré Christos Dimitriadis, Ph.D., CISA, CISM, président du conseil d'administration de l'ISACA et chef de groupe de la sécurité de l'information chez INTRALOT. « Les professionnels de la cybersécurité sont confrontés à d'énormes exigences pour sécuriser leurs infrastructures organisationnelles, et les équipes doivent être bien formées et préparées et dotées de ressources adéquates. ».

Le problème du manque de ressources consacrées à la sécurité

Les répondants au sondage de cette année ont indiqué que si la cybersécurité constitue une priorité pour assurer le bon contrôle de leur entreprise, les obstacles auxquels sont confrontés les professionnels de la cybersécurité demeurent.

Mais il y a une bonne nouvelle : de plus en plus d'organisations ont désormais embauché un responsable de la sécurité des systèmes d'information (65 % contre 50 % en 2016). Toutefois, les responsables en matière de sécurité ont toujours du mal à pourvoir les postes ouverts de cybersécurité (voir la première partie du rapport sur l'état de la cybersécurité publié cette année), et près de la moitié (48 % pour cent) des répondants n'ont pas tout-à-fait confiance en la capacité de leur cyberéquipe à répondre à autre chose que des problèmes simples de cybersécurité. En outre, plus de la moitié des répondants pensent que les professionnels de la cybersécurité ne comprennent pas bien comment fonctionne leur entreprise.

Bien que les formations soient indispensables pour remédier à ces pénuries de compétences, les budgets de formation d'une organisation sur quatre représentent moins de 1 000 USD par membre des équipes de cybersécurité. Même si dans l'ensemble les budgets consacrés à la cybersécurité restent solides, moins d'organisations ont décidé d'augmenter leur budget cette année. Environ la moitié a opté pour une augmentation budgétaire, ce qui représente une baisse par rapport à 2016 où ce chiffre s'élevait à 61 %.

« La montée des responsables de la sécurité informatique dans les organisations démontre que les dirigeants cherchent de plus en plus à sécuriser leur entreprise, ce qui est un signe encourageant », a également confié M. Dimitriadis. « Mais ce n'est pas un remède miracle. Alors que le nombre des attaques malveillantes ne cesse d'augmenter, les organisations ne peuvent pas se permettre un ralentissement de leurs ressources. Pourtant, si l'on considère le nombre très important de répondants qui ont déclaré ne pas avoir confiance dans la capacité de leurs équipes à résoudre des problèmes complexes, nous comprenons qu'il est nécessaire de faire plus pour relever les problèmes urgents de cybersécurité auxquels sont confrontées toutes les entreprises. »

L'Étude 2017 de l'ISACA sur l'état de la cybersécurité peut être téléchargée gratuitement à l'adresse suivante www.isaca.org/state-of-cyber-security-2017. La première partie couvre les problèmes liés à la main-d'œuvre, et la deuxième partie aborde le contexte des menaces. Ce rapport est la dernière ressource issue par le Cybersecurity Nexus (CSX) de l'ISACA, qui offre des connaissances, des formations axées sur les compétences et des examens d'accréditation fondés sur les performances, ainsi que des programmes d'accompagnement de carrière pour les professionnels de la cybersécurité et pour les personnes qui souhaitent développer leurs compétences en matière de cybersécurité.

À propos de l’ISACA

Existant maintenant depuis près de 50ans l'ISACA® (isaca.org) est une association mondiale qui aide les individus et les entreprises du monde entier à réaliser le potentiel positif de la technologie. L'ISACA s'appuie sur l'expertise de son demi-million d'employés spécialistes de l'information, de la cybersécurité, de la gouvernance, de l'assurance, des risques et de l'innovation, ainsi que sur l'expertise de sa filiale spécialisée dans la performance des entreprises, l'Institut CMMI®, pour faire progresser l'innovation grâce à la technologie.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.

Contacts

ISACA
Jay Schwab, +1.847.660.5693
communications@isaca.org
ou
Amanda Elfving, +1.303.527.4605
isacapr@ogilvy.com

Contacts

ISACA
Jay Schwab, +1.847.660.5693
communications@isaca.org
ou
Amanda Elfving, +1.303.527.4605
isacapr@ogilvy.com