• À peine neuf entreprises sur dix considèrent nécessaire d’augmenter de jusqu’à 50 % leurs dépenses consacrées à la cybersécurité
• 64 % estiment que les attaques des malwares et du phishing sont la plus grosse menace
• Seulement 12 % estiment qu’ils détecteraient très probablement une cyberattaque ingénieuse

La lutte contre la cybercriminalité est coûteuse, mais les moyens manquent souvent pour pouvoir contrer efficacement les cybermenaces actuelles. 87 % des entreprises dans le monde estiment qu’elles devraient augmenter les moyens consacrés à la cybersécurité de jusqu’à 50 % pour pouvoir se protéger de manière appropriée contre les cybermenaces. Néanmoins, seules 12 % des entreprises envisagent une hausse de plus de 25 % de leur budget.

Et ce, bien que la menace ne cesse d’augmenter : selon les personnes interrogées, les plus grandes menaces proviennent de logiciels malveillants – appelés malwares – et d’attaques de phishing. 64 % considèrent ces menaces comme les plus gros risques. L’année dernière, seulement 52 % et 51 % les jugeaient comme telles.

Toutefois, les attaques ne proviennent pas toujours seulement de l’extérieur – les propres collaborateurs peuvent aussi s’avérer un risque pour la sécurité. Les collaborateurs imprudents ou mal informés sont considérés par 77 % comme la principale porte d’entrée pour les cyberattaques, suivis des organisations criminelles (56%) ou encore des collaborateurs qui souhaitent porter intentionnellement atteinte à l’entreprise (47%), comme l’indique l’enquête Global Information Security 2017-18 (enquête mondiale sur la sécurité de l’information) de la société d’audit et de conseil EY. Pour les besoins de cette enquête, 1200 entreprises ont été interrogées dans le monde et près de 40 en Suisse.

« Les attaques de malwares comme celles de Petya ou Wannacry sont des menaces au niveau mondial, qui peuvent facilement laisser une entreprise sur le carreau », commente Tom Schmidt, Directeur de la cybersécurité d’EY Suisse, à propos des chiffres. « Chaque entreprise doit se préparer au pire – après les attaques du passé, qui ont eu un impact sur le grand public, il n’y a plus d’excuse à l’inaction. Les failles de sécurité peuvent causer de coûteux dommages. Ceux qui n’investissent pas suffisamment dans la cybersécurité courent le risque de finir par le payer. »

Les budgets augmentent souvent une fois qu’il est trop tard

Mais bien souvent, les investissements dans la cybersécurité ne sont effectués qu’une fois que les dégâts sont là. Ainsi, 76 % des responsables de la sécurité dans les entreprises interrogées indiquent qu’ils seraient certainement payés davantage si une cyberattaque causait des dommages. Les attaques repoussées avec succès, ou celles qui ne laissent d’abord aucun dégât visible derrière elles, n’entraîneraient toutefois, selon 64 % des personnes interrogées, aucune hausse de budget.

« C’est une erreur », prévient Tom Schmidt. « Les entreprises doivent accepter qu’en principe, toute attaque constitue un dommage, même s’il n’est pas visible. Il pourrait par exemple s’agir d’un test pour guetter les failles de sécurité ou d’une ruse pour attaquer ailleurs. »

Peu nombreux sont ceux qui savent détecter les cyberattaques ingénieuses

Seulement 12 % des personnes interrogées pensent qu’elles seraient très probablement en mesure de découvrir des cyberattaques ingénieuses. 44 % croient même qu’il serait improbable qu’elles s’en rendent compte. 38 % n’ont toujours pas de gestion des identités et des accès pour régir l’accès aux systèmes informatiques, 35 % n’ont aucune mesure définie pour la protection des données et 12 % ne disposent ni d’un programme, ni de processus et d’outils pour déceler les failles de sécurité.

« Certaines entreprises jouent même avec le feu lorsqu’elles ne prennent pas au sérieux la cybersécurité », prévient Reto Aeberhardt, responsable Cybersecurity Transformation chez EY Suisse. Il conseille de porter la question aussi haut que possible dans l’entreprise et de prendre des mesures concrètes de défense et de détection des cyberattaques. « Il est possible de se défendre contre de nombreuses attaques par des mesures simples, comme des mises à jour de sécurité régulières et des pare-feux. Mais l’on ne pourra pas se protéger de toutes les attaques. Il s’agit alors de détecter si possible en temps réel les attaques réussies et de mettre en œuvre les mesures appropriées. »

Un Security Operations Center est utile, mais à peine la moitié des entreprises en ont un

Presque la moitié (48 %) des entreprises n’ont pas de Security Operations Center (SOC) – ni dans leur propre entreprise, ni auprès d’un prestataire de services externe. Et seulement 24 % ont un représentant de la cybersécurité directement membre de la direction générale. « Les hautes sphères de nombreuses entreprises ne comprennent pas encore et ne sont pas conscientes de l’importance de la question », critique Tom Schmidt. Il recommande aux entreprises qui ne disposent pas du personnel ou des moyens nécessaires d’aller chercher l’expertise nécessaire hors de l’entreprise. « L’externalisation de certaines missions de sécurité auprès de spécialistes peut notamment aider les petites et moyennes entreprises. Mais même pour les plus grandes entreprises, il est parfois très difficile de couvrir toutes les compétences requises en cybersécurité avec leurs propres collaborateurs. »