Selon cette enquête, près de la moitié des DSI font des compromis dangereux pour la sécurité de leur entreprise. Malgré le RGPD, 35% d’entre eux estiment que ces compromis avec la sécurité risquent d’engendrer une perte de données clients.

La nouvelle étude « Resilience Gap » publiée par Tanium révèle des lacunes inquiétantes quant à la capacité de résilience des entreprises à travers le monde, mais aussi en France. Dans un contexte où le nombre et la complexité des cyberattaques augmentent de concert, la visibilité et le contrôle, en temps réel, de l’architecture informatique deviennent fondamentaux pour les entreprises. En effet, seule une connaissance fiable et immédiate des actifs informatiques et des processus opérationnels de l’entreprise, permettra à un dirigeant de prendre rapidement les bonnes décisions et de rétablir l’activité en état de fonctionnement normal.

Bien que des solutions existent pour obtenir une visibilité et un contrôle en temps réel de l’architecture informatique, un long travail de pédagogie doit encore être opéré en interne. En effet, selon la dernière enquête de Tanium, 90% des DSI français interrogés avouent faire des compromis avec la sécurité. Pourquoi ? Quels en sont les impacts ? Taniem enquête.

Malgré la prise de conscience que les cybermenaces sont plus nombreuses, plus complexes et plus dangereuses, les entreprises françaises n’ont pas pris toutes les mesures nécessaires pour se protéger. Et pourtant, on pourrait penser que les dégâts réalisés par des attaques telles que Wannacry auraient marqué les esprits. Pour preuve, 94% des répondants avouent s’être déjà abstenus de faire une mise à jour ou un correctif de sécurité important parce qu’ils s’inquiétaient de l’impact que cela pourrait avoir sur l’activité commerciale de l’entreprise. Ils sont même 61% à admettre avoir fait ce compromis à plusieurs reprises ! Ces chiffres sont d’autant plus inquiétants que seule une mise à jour de Windows permet d’immuniser les postes clients contre des menaces telles que Wannacry. Mais ces compromis ne sont pas toujours le fait des DSI. En effet, interrogés sur les principales raisons de ceux-ci, plus d’un tiers des répondants (37%) citent les pressions exercées par les directions afin d’assurer la continuité de service et un tiers (33%) indique que l’importance accordée à la mise en œuvre de nouveaux systèmes prime sur la protection des actifs existants.

« Par définition, une entreprise résiliente doit pouvoir s’appuyer sur ses employés, ses processus et la technologie pour réagir rapidement et limiter l’impact d’une cyberattaque », explique Dagobert Levy, Vice-Président South EMEA de Tanium. Et d’ajouter : « Les compromis réalisés par les DSI mettent en évidence un problème plus global : le manque de prise de conscience de la part des dirigeants de l’importance du maintien du parc informatique pour une bonne protection de leur entreprise. » En effet, le manque de compréhension des enjeux relatifs à la cybersécurité chez les différents dirigeants de l’entreprise a été identifié comme le principal facteur poussant les DSI à faire des compromis. La moitié des responsables informatiques interrogés (51%) déclare être confrontés à des difficultés émanant d’autres départements. De même, 45% affirment que la priorité au sein de l’entreprise est largement donnée aux activités commerciales, et ce, au détriment des protocoles de sécurité.

Ces priorités divergentes amènent les DSI à s’inquiéter sur les impacts potentiels pour leur entreprise. Alors que l’entrée en vigueur du RGPD devrait pousser les entreprises à faire particulièrement attention à tout ce qui relève des données personnelles, plus du tiers des sondés (35%) estiment que ces compromis pourraient conduire à une perte de données clients. Et un tiers (33%) craignent une perte de confiance de la part de leurs clients.

L’étude met en lumière une situation dangereuse pour les entreprises : l’incapacité à maintenir à jour les postes de travail et serveurs, ce qu’illustre les résultats sur la durée nécessaire pour le déploiement d’une simple mise à jour.

Les problèmes ne s’arrêtent pas là puisqu’une fois la mise à jour finalement déployée, 9 DSI sur 10 (91%) déclarent avoir déjà découvert que le correctif n’avait pas réellement mis à jour l’ensemble des appareils, laissant ainsi l’entreprise exposée aux menaces.

« Avec le rythme auquel les entreprises investissent dans leurs opérations IT et solutions de sécurité pour améliorer leurs opérations quotidiennes, elles ouvrent aussi davantage de points d’entrée qui les rendent plus vulnérables. Avoir une visibilité claire de tous les postes de travail et serveurs du réseau et être capable d’agir sur les menaces en temps réel est crucial pour protéger une entreprise contre les interruptions de services. » ajoute Dagobert Levy, avant de conclure « Alors que les entreprises cherchent à bâtir une culture de la sécurité, il est essentiel que les équipes d’exploitation et de sécurité unissent leurs efforts pour agir de concert afin de donner à l’organisation une bonne capacité de résilience. Cela implique d’avoir de la visibilité et un contrôle en temps réel sur les postes de travail et serveurs du réseau de l’entreprise, permettant de prévenir, de détecter, et de réagir rapidement à toutes perturbations ou cybermenace ».

Méthodologie

Tanium a confié à Censuswide, la réalisation de cette étude. Au total, 504 directeurs des systèmes d’information (DSI) et responsable de la sécurité des systèmes d’informations (RSSI) d’entreprises de plus de 1000 employés au Royaume-Uni, aux Etats-Unis, en Allemagne, en France et au Japon ont été interrogés au quatrième trimestre 2018. Les répondants provenaient d’organisations de divers secteurs. Censuswide respecte et emploie les membres de la Market Research Society, qui est basée sur les principes ESOMAR.

Emmanuel Mayega
A propos de l'auteur

Rédacteur en chef du magazine Assurance & Banque 2.0, Emmanuel a une connaissance accrue de l’intégration des technologies dans l’assurance, la banque et la santé. Ancien rédacteur en chef adjoint d’Assurance & Informatique Magazine, il est un observateur affûté du secteur. Critique, il se définit comme esprit indépendant et provocateur, s’il le faut.

Site web : http://www.assurbanque20.fr

Twitter LinkedIn Google+

Newsletter

Vous n'avez pas le temps suivre l'actualité ? Découvrez nos newsletters gratuites, quotidiennes ou hebdomadaires.

Inscription Newsletter


Le Mensuel

Chaque mois, un regard éclairé et sans concession sur l'actualité de l'Assurance, de la Banque et des Services Financiers.

Découvrir le magazine