Le Cyber Risk Index (CRI) de Trend Micro vient d’être dévoilé. Ses résultats soulignent des chiffres alarmants. Ainsi, 76% des entreprises s’attendent à subir une attaque informatique dans les 12 prochains mois. Il confirme que le télétravail et le Cloud constituent les principales sources de risques pour les organisations. Un cri d’alarme face à cette nouvelle donne des cyberisques galopants.
Les données publiées dans cette dernière version du Cyber Risk Index de Trend Micro sont calculées par le Ponemon Institute en mesurant l’écart entre le niveau de préparation des entreprises en matière de sécurité et les probabilités qu’elles ont de se faire attaquer.
Premier enseignement : trois entreprises sur quatre s’attendent à être la cible d’une attaque dans les 12 prochains mois et un quart évalue même ce risque comme étant ‘très probable’.
Selon Nicolas Arpagian – Director Cybersecurity Strategy de Trend Micro, « Pour élaborer une stratégie de cybersécurité efficace, les organisations doivent être en mesure d’évaluer et identifier les risques auxquelles elles peuvent être confrontées. Dans ce contexte, le CRI met en évidence les principales préoccupations des entreprises en matière de cybersécurité : les menaces liées au télétravail et la transformation numérique sont plus que jamais d’actualité. Dès lors, les entreprises ont tout intérêt pour gagner en lisibilité, et donc en efficacité, à centraliser leurs outils de sécurité ».
Le CRI s’appuie sur une échelle numérique de -10 à 10, -10 représentant le niveau de risque d’attaque le plus élevé. L’indice mondial actuel est de -0,04, ce qui représente un risque « élevé ». Le marqueur le plus important se situe aux États-Unis (-0,18) où les entreprises sont confrontées à un indice de cybermenaces plus fort que dans d’autres pays du monde. Les organisations sont conscientes de ce niveau de risque : 84 % d’entre elles affirment avoir été visées par une ou plusieurs attaques au cours des 12 derniers mois et plus d’un tiers (35%) reconnait en avoir subi au moins sept au cours de la même période.
Les rançongiciels, l’hameçonnage, l’ingénierie sociale et les attaques par déni de service (DDoS) figurent parmi les menaces préoccupant le plus les organisations, tout comme les lourdes conséquences que de telles intrusions pourraient engendrer (vol, dommages des équipements, coûts associés, perte de clients…). Les entreprises sont particulièrement soucieuses des impacts d’une potentielle attaque sur leur infrastructure informatique. Elles s’inquiètent surtout de la sécurité des collaborateurs en situation de mobilité ou travaillant à distance, du Cloud et des applications tierces. Un tel constat met en évidence le défi permanent que bon nombre d’entre elles doivent relever pour pérenniser les choix numériques réalisés pendant la pandémie : des investissements essentiels destinés à soutenir le travail à distance, accroître l’efficacité et l’agilité de l’entreprise et in fine couvrir l’étendue de ces nouvelles surfaces d’attaque. Comme l’explique explique le Dr Larry Ponemon, CEO du Ponemon Institute, « les entreprises sont chaque jour confrontées à des défis de sécurité exigeants, qu’il s’agisse de vulnérabilités logicielles, de violations de données ou de rançongiciels ». Le CRI de Trend Micro est un véritable atout pour mesurer l’évolution des risques et des surfaces d’attaques. Il permet aux entreprises de renforcer leur niveau de sécurité et sert de guide à leur planification stratégique. »
Le Cyber Risk Index met en exergue le niveau de préparation des entreprises en matière de sécurité. Parmi les défis majeurs auxquelles elles sont confrontées, on trouve :
– la prise en charge de la sécurité des environnements DevOps,
– les limites de l’autorité des Responsables cybersécurité et les ressources encore trop limitées
pour mettre en place un dispositif de sécurité optimal,
– les trop nombreux cas de non-conformité aux politiques de sécurité, aux procédures opérationnelles standard et aux exigences externes.
Ces résultats illustrent la nécessité d’allouer davantage de ressources aux équipes, aux processus et aux technologies pour améliorer le niveau de préparation des entreprises aux menaces et réduire le niveau de risque de façon globale.