Alors que les entreprises mettent au point des stratégies de sécurité pré et post intrusion, elles continuent aussi à stocker les mots de passe administrateurs dans des fichiers Excel…
La 10ème enquête annuelle internationale « Threat Landscape Report » de CyberArk a ceci d’intéressant qu’elle examine si les entreprises internationales ont appris et appliqué les leçons sur les cyberattaques, et comment leurs priorités en termes de sécurité et de prises de décisions sont influencées. Las, constate-t-elle pour 2016, certaines mauvaises pratiques de sécurité sont toujours présentes, malgré une prise de conscience renforcée.
Les progrès généraux et les points noirs
Premier constat : la prise de conscience est forte. 79 % des entreprises interrogées dans le monde (76 % en France) indiquent avoir tiré des leçons des principales cyberattaques et avoir mis en place les actions nécessaires pour améliorer leur sécurité. 67 % (contre 57 % en 2015) pensent qu’à l’heure actuelle leurs PDG ou membres du conseil d’administration assurent une direction claire en matière de cybersécurité.
Cette prise de conscience a engendré plusieurs actions majeures : le déploiement de solutions de détection de malwares (25 % au niveau global, 32 % en France), de sécurité des points d’accès (24 % au niveau global, 30 % en France) et d’analyses de sécurité (16 % au niveau global et 17 % en France). 55 % des répondants indiquent que leur organisation a changé et adopté des processus avancés pour la gestion des comptes à privilèges. Cette proportion s’élève à 61 % pour la France.
Malgré cela, 40 % des organisations stockent toujours les mots de passe admin et de comptes à privilèges dans un document Word ou Excel, et 28 % utilisent un serveur partagé ou une clé USB. En outre, si la majorité des sondés sécurisent et surveillent les accès à distance à leurs réseaux internes par leurs fournisseurs externes (la moitié des sondés ont de tels accès), il faut noter que 21 % des entreprises du secteur public n’ont aucun contrôle de sécurité sur ces accès et que 33 % ne les surveillent pas.
Se préparer à gérer une cyberattaque
C’est positif : les organisations se préparent à gérer une cyberattaque et à adapter leur activité en cas d’intrusion. Cette anticipation conduit à la mise en place de mesures pour la planification post intrusion. Presque toutes les organisations (95 %) ont un plan de réponse cyber-sécuritaire d’urgence.75 %, soit 3 personnes sur 4 ayant un pouvoir décisionnel dans les services informatiques, pensent pouvoir empêcher des pirates informatiques de s’introduire dans leur réseau interne, contre 44 % en 2015.
Mais cette préparation appropriée est affectée par un manque de communication et de tests. Seules 45 % des entreprises communiquent et testent régulièrement leur plan avec l’ensemble du personnel de leurs services informatique.
Les risques inquiétant les entreprises
Les sondés ont identifiés quels types de cyberattaques ou de cyber-tactiques les inquiètent le plus. Les répondants ont également partagé les scénarios qui selon eux représentaient la menace potentiellement la plus catastrophique.
Leurs premières préoccupations pour les 12 mois à venir concernent les attaques DDoS (19 %), l’hameçonnage (14 %), les ransomwares (13 %), l’exploitation des comptes à privilèges (12 %) et les intrusions de périmètre (12 %).
Les attaques contre les systèmes financiers, y compris la perturbation de marchés internationaux est la menace qui est perçue par 58 % des personnes interrogées comme étant potentiellement la plus catastrophique, suivie par les attaques endommageant massivement les ressources primaires (55 %) et celles ayant un impact sur les services publics comme les services de santé et les hôpitaux (51 %). En France, 48 % partagent le sentiment relatif aux systèmes financiers, mais 73 % estiment qu’une cyberattaque de grande ampleur contre des infrastructures critiques pouvant conduire à des pannes de courant ou des problèmes pouvant toucher la qualité de l’eau par exemple seraient catastrophiques.
L’impact des réglementations
L’enquête a montré une image globale variée en termes de préparation pour une surveillance réglementaire accrue, et en termes d’impact sur des programmes de cybersécurité et de responsabilité.
Même si 70 % des sondés indiquent que la menace d’actions en justice et d’amendes influence le niveau d’implication des cadres ou des conseils d’administration, 22 % ne prend pas en compte les frais d’amendes ou de justice (19 %) dans le coût potentiel d’une intrusion.
Ce qui inquiète le plus les sondés internationaux sur les conséquences d’une cyberattaque est la perte de données client (68 %), d’informations financières (52 %), de la confiance des clients (35 %), de leur réputation (33 %) et de leur capacité à opérer (32 %). Mais si presque 7 sondés sur 10 (69 %) ont déclaré que leur priorité en cas de cyberattaque serait de stopper l’intrusion, d’expulser les intrus, puis de détecter la source de l’intrusion (53 %), peu de répondants ont déclaré comme une priorité la notification de cette cyberattaque à leur conseil d’administration ou leur PDG (26 %), à l’ensemble du personnel (25 %) et aux clients (18 %).
Accéder à l’étude en anglais