PwC - Sécurité informatique : criminalité et coûts en hausse, budgets en baisse
Le nouveau rapport The Global State of Information Security® Survey 2015 montre une augmentation de la cybercriminalité venue de l'intérieur et les attaques de haut niveau
La hausse continue du nombre d'incidents déclarés et des coûts liés n'a rien de surprenant. Cependant, l’ampleur réelle des incidents est bien plus importante compte tenu des méthodes de détection et de déclaration employées. Les incidents non identifiés ou non-reportés sont également encore très nombreux
Vincent Villers, associé et responsable de la Cybersécurité et de la Sécurité de l’Information chez PwC Luxembourg
D'après l'enquête de PwC intitulée The Global State of Information Security ® 2015, publiée avec le concours des magazines CIO et CSO, le nombre d'incidents informatique détectés par les entreprises à travers le monde aurait augmenté de 48% en 2013, pour atteindre 42,8 millions d'incidents, soit l'équivalent de 117 339 attaques informatiques par jour. Depuis 2009, le nombre d'incidents détectés a augmenté de 66% par an en moyenne.
« La hausse continue du nombre d'incidents déclarés et des coûts liés n'a rien de surprenant. Cependant, l’ampleur réelle des incidents est bien plus importante compte tenu des méthodes de détection et de déclaration employées. Les incidents non identifiés ou non-reportés sont également encore très nombreux », explique Vincent Villers, associé et responsable de la Cybersécurité et de la Sécurité de l’Information chez PwC Luxembourg.
Augmentation de l'impact financier des incidents de sécurité
Les coûts liés à la gestion et à la résolution des incidents de sécurité tendent à augmenter mécaniquement en fonction du nombre d'incidents. Au niveau mondial, les pertes financières occasionnées par les incidents de sécurité informatique se sont élevées à 2,7 millions USD en 2014, soit une augmentation de 34 % par rapport à l'année précédente. Le nombre d'entreprises ayant déclaré des pertes de plus de 20 millions USD a quasiment doublé au cours de la même période.
Cependant, malgré les inquiétudes des entreprises, les budgets dédiés à la sécurité informatique ont en réalité diminué de 4% par rapport à 2013. En effet, les dépenses de sécurité en pourcentage du budget informatique sont restées bloquées à 4% ou moins au cours des cinq dernières années
« D'un point de vue stratégique, en matière de sécurité, les entreprises devront identifier et investir dans les technologies les plus à même de répondre aux menaces informatiques les plus sophistiquées. Il est essentiel d'assurer le financement d’un système robuste de gouvernance et de gestion de la sécurité, reposant sur des technologies offrant des fonctionnalités de prédiction, de prévention, de détection et de réponse aux attaques afin de limiter l'impact de ces incidents », poursuit Vincent Villers.
Quelle que soit leur taille ou leur secteur d'activité, les entreprises ont pris conscience des risques liés aux attaques informatiques. Les grands groupes subissent d'ailleurs davantage d'attaques que les entreprises plus petites. Les grands groupes — disposant de revenus annuels de plus d'un milliard USD — ont relevé une hausse de 44% du nombre d'incidents détectés par rapport à l'année passée. Les entreprises de taille moyenne — dont les revenus s'échelonnent entre 100 millions et un milliard USD — ont enregistré une hausse de 64% du nombre d'incidents détectés par rapport à l'année passée. Alors que les risques informatiques sont devenus omniprésents, il ressort de l'étude que les pertes financières varient grandement en fonction de la taille de l'entreprise.
« Les grands groupes sont souvent victimes d'attaques informatiques car ils disposent généralement de données de grande valeur. En raison de l’amélioration des dispositifs de sécurité mis en place par ces derniers, les entreprises de taille moyenne se voient davantage prises pour cible par les cybercriminels. Malheureusement, ces entités plus petites ne disposent pas toujours de systèmes de sécurité capables rivaliser avec ceux des grands groupes », ajoute Vincent Villers.
Augmentation des menaces internes
D'après les résultats de l'enquête, les personnes travaillant au sein même de l'entreprise sont fréquemment désignées comme responsables de bon nombre d’incidents de cybercriminalité. Cependant, cette divulgation d'informations est souvent involontaire car elle résulte de la perte d'un appareil mobile ou d'une attaque ciblée de hameçonnage. Les personnes ayant répondu à l'enquête ont souligné une augmentation de 10% des incidents causés par les employés actuellement en poste. Le nombre d'incidents causés par les prestataires externes a également augmenté (+15% pour les prestataires actuellement en poste et +17% pour les anciens prestataires).
« De nombreuses entreprises préfèrent régler leurs affaires en interne, sans faire appel aux autorités ou à la justice pour combattre cette criminalité venue de l'intérieur. Cette démarche peut poser un risque pour les autres entreprises, qui pourraient embaucher ces mêmes employés délinquants. Des mécanismes et des entités, telles que le CIRCL (Computer Incident Response Center Luxembourg), existent et sont disponibles pour venir en aide aux entreprises, en toute confidentialité. Ces chiffres sont aussi la preuve qu’une entreprise doit sensibiliser régulièrement ses employés et les tenir informés des nouvelles menaces», explique Ludovic Raymond, senior manager au sein de l’équipe Cybersécurité et Sécurité de l’information chez PwC Luxembourg.
En outre, bien que l'incidence des attaques de haut niveau perpétrées par les états souverains, la criminalité organisée et les entreprises concurrentes soit actuellement très faible, ces menaces connaissent une croissance rapide. Cette année, le nombre de répondants ayant déclaré une attaque provenant d'un état souverain a augmenté de 86% par rapport à l'année précédente — en gardant à l'esprit que, de par leur nature, ces incidents ne font pas systématiquement l'objet d'une déclaration. Les résultats de l'étude soulignent également une augmentation de 64% du nombre d'attaques attribuées aux entreprises concurrentes, dont certaines peuvent être appuyées par un état souverain.
Communication et sensibilisation
La sensibilisation des utilisateurs aux risques liés à la sécurité des informations nécessite une communication et un engagement fort de la part de la direction. Cependant, l'enquête souligne certaines lacunes dans ce domaine. Seulement 49% des répondants ont déclaré bénéficier d'une équipe transversale dont le rôle est de coordonner les pratiques en matière de sécurité des informations et d'en assurer la communication.
L'étude de PwC souligne notamment l'importance de mettre en place des systèmes permettant de détecter les intrusions rapidement et d'y apporter une réponse efficace. De plus, au vu de l'interconnexion croissante entre les entreprises, il s’avère essentiel de mettre en place des processus stricts relatifs aux tiers qui interviennent dans l'entreprise.
« Les menaces ne pourront jamais être éliminées totalement. Les entreprises et les organisations doivent rester vigilantes et agiles face à la montée en puissance de la cybercriminalité. Elles doivent faire évoluer leurs systèmes actuels fondés sur la prévention et les contrôles vers une approche fondée sur les risques, donnant ainsi la priorité aux données vitales de l'entreprise et aux menaces qui s'y rapportent. Il sera ainsi essentiel pour les entreprises de renforcer la communication et les processus de sensibilisation en interne en matière de sécurité », assure Vincent Villers.
L'enquête Global State of Information Security Survey 2015 est disponible en langue anglaise sur www.pwc.lu
Communiqués liés
Les 100 ans d’une entreprise familiale luxembourgeoise !
L’entreprise a+p kieffer omnitec fête ce4e année son 100ème anniversaire....
Cactus soutient Finn Kemp, jeune athlète nageur aux talents...
Cactus est fier d’annoncer son partenariat avec Finn Kemp, un jeune nageur au ...
Sondage spontané pour célébrer plus de 200 000 euros de d...
Quest a le plaisir de présenter les résultats du sondage de Questions.lu, marq...
L'ILNAS organise une session de sensibilisation "Standardiza...
Le jeudi 24 octobre 2024, l’ILNAS propose une formation qui a pour but de sens...
RSA launches technology and management liability insurance s...
RSA Luxembourg, part of Intact Insurance Specialty Solutions, today announces th...
Lancement d'une nouvelle connexion intermodale entre Bettemb...
CFL multimodal a le plaisir d'annoncer le lancement de sa nouvelle connexion i...
Il n'y a aucun résultat pour votre recherche