26.3.21

5 défi des entreprises financières (et bien d’autres) en matière de cybersécurité

Pourquoi de nombreuses organisation ont-elles du mal à suivre l’évolution du paysage des menaces et à gérer efficacement leurs cyberrisques ?

Amer Owaida

Les sociétés de services financiers sont depuis longtemps une cible populaire pour les cybercriminels. Ce n’est pas sans raison, puisqu’en plus de travailler avec de l’argent, les sociétés financières traitent un grand nombre de données sensibles sur leurs clients, que les criminels utilisent dans diverses fraudes ou vendent sur le dark web. Selon le rapport 2020 Data Breach Investigations Report, de Verizon, l’année dernière uniquement, le secteur financier a subi plus de 1 500 incidents, avec 448 divulgations de données confirmées.

En plus des menaces de longue date, la plupart des entreprises ont dû faire face à la transition rapide vers le travail à distance. Cette transition s’est faite dans un délai extrêmement court, laissant aux entreprises peu de temps pour déployer des mesures de cybersécurité adéquates ou pour préparer les employés aux cybermenaces imminentes. Et si la pandémie finit par s’estomper, le travail à distance, lui, est là pour rester. Il vient s’ajouter à la liste des défis que les entreprises doivent relever lorsqu’elles préparent leurs plans et politiques de cybersécurité. Il s’agit d’un problème auquel elles sont souvent déjà confrontées en raison de divers facteurs – nous en avons rassemblé cinq :

Le manque de main d’oeuvre de talent

Alors que de nombreuses entreprises sont à la recherche de professionnels de la cybersécurité, expérimentés ou en devenir, pour rejoindre leurs rangs et les aider à établir un périmètre défensif contre diverses menaces, ils ne sont tout simplement pas assez nombreux. En fait, bien que le déficit de main-d’œuvre en cybersécurité ait diminué pour la première fois depuis des années, il y a toujours une pénurie mondiale de 3,12 millions de travailleurs. En fait, pour combler la pénurie mondiale de talents, il faudrait que les niveaux d’emploi augmentent de 41 % aux États-Unis et de 89 % dans le monde entier. Ainsi, pour attirer les meilleurs et les plus brillants esprits de la cybersécurité, les entreprises devront offrir des salaires compétitifs et des opportunités de travail épanouissantes.

Des budgets insuffisants

L’insuffisance des budgets alloués à la cybersécurité est un facteur clé qui empêche les entreprises de s’attaquer de front aux cybermenaces. Selon une enquête menée par le cabinet de conseil Ernst and Young, 87 % des organisations interrogées ont déclaré qu’elles ne disposaient pas d’un budget suffisant pour atteindre les niveaux de cybersécurité et de résilience qu’elles visaient. Le manque de ressources signifie que les entreprises ne peuvent pas recruter suffisamment de talents en cybersécurité ou mettre en place les mesures techniques dont elles ont besoin pour être résilientes face aux diverses cybermenaces.

La surestimation de leur propre cybersécurité

Une erreur courante des entreprises est de surestimer la qualité de leurs mesures de cybersécurité. Bien qu’elles puissent croire qu’elles maîtrisent la situation, les entreprises n’ont peut-être pas mis en place les meilleures politiques de gestion des correctifs de vulnérabilité. Un bon – mais en même temps, malheureux – exemple est la vulnérabilité BlueKeep présente dans Windows. Le correctif a été publié en mai 2019, Microsoft exhortant tout le monde à procéder à cette mise à jour immédiatement. Un mois plus tard, la National Security Agency a publié son propre avertissement. Pourtant, en juillet, il y avait encore plus de 805 000 machines sensibles à cette faille de sécurité; le tout a culminé avec les premières attaques BlueKeep, en novembre de cette même année. Il va sans dire que la correction d’une vulnérabilité aussi grave ne devrait en aucun cas prendre six mois.

Le manque de formation à la sensibilisation

Le fait que les employés ne reçoivent pas suffisamment de formation de sensibilisation à la cybersécurité est un autre phénomène courant qui nuit à la cybersécurité d’une entreprise. Les risques que les employés soient incités à télécharger des logiciels malveillants ou à divulguer les informations d’identification de leur entreprise ont été amplifiés par le passage au travail à distance, alimenté par le COVID-19. Selon une étude menée par le Ponemon Institute, bien que les entreprises aient enregistré une recrudescence des cyberattaques pendant la pandémie (notamment des attaques de phishing et d’ingénierie sociale), 24 % des personnes interrogées estiment que leur organisation n’a pas dispensé une formation suffisante sur les risques liés au travail à distance. Fait inquiétant, l’étude a également révélé que plus de la moitié des entreprises n’avaient aucune politique de sécurité couvrant les besoins des employés à distance.

La sous-estimation de l’importance de la cybersécurité

Certaines organisations sous-estiment la valeur de la cybersécurité pour leur entreprise et choisissent plutôt d’investir dans d’autres aspects qu’elles jugent plus valables, comme le financement des expansions ou le développement de nouveaux produits. Elles pourraient faire valoir que les coûts sont supérieurs aux avantages, par exemple que le coût des mesures de cybersécurité est supérieur aux pertes potentielles résultant d’une violation des données. Toutefois, si les amendes et les pertes potentielles peuvent être moindres à court terme, l’atteinte à la réputation pourrait avoir des répercussions plus importantes, notamment la perte de confiance des clients, ce qui affecterait les flux de revenus. Par ailleurs, en cas de succès, les cybercriminels pourraient avoir accès à la propriété intellectuelle qu’ils pourraient vendre avec les données des clients sur le dark web. Par conséquent, la cybersécurité ne doit pas être envisagée après coup, car elle sert à protéger à la fois l’entreprise et ses clients.

Conclusion

Toute combinaison des facteurs susmentionnés pourrait constituer la tempête parfaite pour une pléthore d’organisations confrontées à une cyberattaque. Le bon côté des choses, c’est que les entreprises de services financiers ont commencé à prendre au sérieux les problèmes de cybersécurité au plus haut niveau. Le cabinet mondial de conseil en gestion McKinsey a constaté que 95 % des comités de conseil interrogés déclarent discuter des cyber-risques et des risques technologiques au moins quatre fois par an. Il convient toutefois de noter que la sensibilisation des cadres supérieurs doit aller de pair avec l’investissement de sommes suffisantes dans des solutions de cybersécurité et la formation du personnel aux meilleures normes possibles.