Pourquoi de nombreuses organisation ont-elles du mal à suivre l’évolution du paysage des menaces et à gérer efficacement leurs cyberrisques ?
Amer Owaida
Les sociétés de services financiers sont depuis longtemps une cible populaire pour les cybercriminels. Ce n’est pas sans raison, puisqu’en plus de travailler avec de l’argent, les sociétés financières traitent un grand nombre de données sensibles sur leurs clients, que les criminels utilisent dans diverses fraudes ou vendent sur le dark web. Selon le rapport 2020 Data Breach Investigations Report, de Verizon, l’année dernière uniquement, le secteur financier a subi plus de 1 500 incidents, avec 448 divulgations de données confirmées.
En plus des menaces de longue date, la plupart des entreprises ont dû faire face à la transition rapide vers le travail à distance. Cette transition s’est faite dans un délai extrêmement court, laissant aux entreprises peu de temps pour déployer des mesures de cybersécurité adéquates ou pour préparer les employés aux cybermenaces imminentes. Et si la pandémie finit par s’estomper, le travail à distance, lui, est là pour rester. Il vient s’ajouter à la liste des défis que les entreprises doivent relever lorsqu’elles préparent leurs plans et politiques de cybersécurité. Il s’agit d’un problème auquel elles sont souvent déjà confrontées en raison de divers facteurs – nous en avons rassemblé cinq :
Le manque de
main d’oeuvre de talent
Alors que de nombreuses entreprises sont à la
recherche de professionnels de la cybersécurité, expérimentés ou en devenir,
pour rejoindre leurs rangs et les aider à établir un périmètre défensif contre
diverses menaces, ils ne sont tout simplement pas assez nombreux. En fait, bien
que le déficit de main-d’œuvre
en cybersécurité ait diminué pour la première fois depuis des années,
il y a toujours une pénurie mondiale de 3,12 millions de travailleurs. En fait,
pour combler la pénurie mondiale de talents, il faudrait que les niveaux
d’emploi augmentent de 41 % aux États-Unis et de 89 % dans le monde entier.
Ainsi, pour attirer les meilleurs et les plus brillants esprits de la
cybersécurité, les entreprises devront offrir des salaires compétitifs et des
opportunités de travail épanouissantes.
Des budgets
insuffisants
L’insuffisance des budgets alloués à la
cybersécurité est un facteur clé qui empêche les entreprises de s’attaquer de
front aux cybermenaces. Selon une enquête menée par le cabinet de conseil Ernst
and Young, 87 % des organisations interrogées ont déclaré qu’elles ne
disposaient pas d’un budget suffisant pour atteindre les niveaux de
cybersécurité et de résilience qu’elles visaient. Le manque de ressources
signifie que les entreprises ne peuvent pas recruter suffisamment de talents en
cybersécurité ou mettre en place les mesures techniques dont elles ont besoin
pour être résilientes face aux diverses cybermenaces.
La surestimation
de leur propre cybersécurité
Une erreur courante des entreprises est de
surestimer la qualité de leurs mesures de cybersécurité. Bien qu’elles puissent
croire qu’elles maîtrisent la situation, les entreprises n’ont peut-être pas
mis en place les meilleures politiques de gestion des correctifs de
vulnérabilité. Un bon – mais en même temps, malheureux – exemple est la
vulnérabilité BlueKeep présente dans Windows. Le correctif a été publié en mai 2019,
Microsoft exhortant tout le monde à procéder à cette mise à jour immédiatement.
Un mois plus tard, la National Security Agency a
publié son propre avertissement. Pourtant, en
juillet, il y avait encore plus de 805 000 machines
sensibles à cette faille de sécurité; le tout a culminé
avec les premières attaques
BlueKeep, en novembre de cette même année. Il va sans
dire que la correction d’une vulnérabilité aussi grave ne devrait en aucun cas
prendre six mois.
Le manque de
formation à la sensibilisation
Le fait que les employés ne reçoivent pas
suffisamment de formation de sensibilisation à la cybersécurité est un autre
phénomène courant qui nuit à la cybersécurité d’une entreprise. Les risques que
les employés soient incités à télécharger des logiciels malveillants ou à
divulguer les informations d’identification de leur entreprise ont été
amplifiés par le passage au travail à distance, alimenté par le COVID-19. Selon
une étude menée par le Ponemon Institute, bien que les entreprises aient
enregistré une recrudescence des cyberattaques pendant la pandémie (notamment
des attaques de phishing et d’ingénierie sociale), 24 % des personnes interrogées
estiment que leur organisation n’a pas dispensé une formation suffisante sur
les risques liés au travail à distance. Fait inquiétant, l’étude a également
révélé que plus de la moitié des entreprises n’avaient aucune politique de
sécurité couvrant les besoins des employés à distance.
La
sous-estimation de l’importance de la cybersécurité
Certaines organisations sous-estiment la valeur de
la cybersécurité pour leur entreprise et choisissent plutôt d’investir dans
d’autres aspects qu’elles jugent plus valables, comme le financement des
expansions ou le développement de nouveaux produits. Elles pourraient faire
valoir que les coûts sont supérieurs aux avantages, par exemple que le coût des
mesures de cybersécurité est supérieur aux pertes potentielles résultant d’une
violation des données. Toutefois, si les amendes et les pertes potentielles
peuvent être moindres à court terme, l’atteinte à la réputation pourrait avoir
des répercussions plus importantes, notamment la perte de confiance des
clients, ce qui affecterait les flux de revenus. Par ailleurs, en cas de
succès, les cybercriminels pourraient avoir accès à la propriété intellectuelle
qu’ils pourraient vendre avec les données des clients sur le dark web. Par
conséquent, la cybersécurité ne doit pas être envisagée après coup, car elle
sert à protéger à la fois l’entreprise et ses clients.
Conclusion
Toute combinaison des facteurs susmentionnés
pourrait constituer la tempête parfaite pour une pléthore d’organisations
confrontées à une cyberattaque. Le bon côté des choses, c’est que les
entreprises de services financiers ont commencé à prendre au sérieux les
problèmes de cybersécurité au plus haut niveau. Le cabinet mondial de conseil
en gestion McKinsey a constaté que 95 % des comités de conseil interrogés déclarent
discuter des cyber-risques et des risques technologiques au moins quatre fois
par an. Il convient toutefois de noter que la sensibilisation des cadres
supérieurs doit aller de pair avec l’investissement de sommes suffisantes dans
des solutions de cybersécurité et la formation du personnel aux meilleures
normes possibles.