Les capacités de sécurité informatique de votre organisation sont-elles à la hauteur ? Selon une étude récente, de nombreux DSI surestiment la sécurité de leur entreprise. En fait, si 53 % des entreprises interrogées déclarent un haut niveau de maturité en cybersécurité, près de 41 % de ces entreprises avaient en réalité un niveau moins mature qu’elles ne le pensaient.
NetExplorer examine les raisons pour lesquelles les DSI (directeurs des systèmes d’information) surestiment peut-être leur sécurité informatique. Nous proposons des conseils pour mieux évaluer et améliorer la maturité de votre organisation en matière de cybersécurité.
Les DSI surestiment la sécurité informatique de leur organisation
Menée sur près de 350 grandes à très grandes entreprises françaises, cette étude du cabinet Pierre Audoin Consultants (Teknowlogy) fait froid dans le dos.
Comment est-il possible en 2022 que 14 % des entreprises interrogées déclarent un niveau très élevé de cybersécurité, alors qu’elles n’ont en réalité mis en place aucune cybersécurité ? 55 % des entreprises françaises ont pourtant subi au moins une cyberattaque ces derniers mois, et 30 % en ont même été victime plusieurs fois.
Comment évaluer le degré de maturité en cybersécurité d’une entreprise ?
Pour mesurer le niveau de maturité en matière de cybersécurité et de le comparer à la perception que les DSI ont de leur organisation, 7 indicateurs clés ont été pris en compte :
- l’existence d’un responsable de la sécurité de l’information (CISO),
- l’existence d’une politique de cybersécurité formalisée,
- la mise en place d’un plan de réponse aux incidents,
- la formation dispensée aux employés sur les questions de cybersécurité,
- la régularité des audits de sécurité,
- l’existence d’un plan de continuité de l’activité,
- l’utilisation de technologies de cryptage.
Sur la base de ces 7 indicateurs, l’étude montre que 41 % des entreprises sont moins matures qu’elles ne le pensent en matière de cybersécurité. Les répondants étaient pour 25 % des DSI, 21 % de RSSI (Responsables de la Sécurité des Systèmes d’Information), directeur général ou directeur métier à 26 % et autres décideurs IT. Ils occupent pourtant bien des postes qui sont concernés au premier chef par ces questions.
En d’autres termes, ces organisations ont un faux sentiment de sécurité.
La cybersécurité s’évalue à l’aune de son maillon le plus faible
On dit souvent que la cybersécurité est aussi forte que son maillon le plus faible. Cela signifie que, même si une organisation a mis en place toutes les mesures nécessaires, un seul point faible va mettre en péril la sécurité de l’ensemble du système aussi pointu soit-il.
Par exemple, une entreprise peut disposer d’un reverse proxy et passer par des VPN. Si ses employés sont mal formés en matière de cybersécurité et font preuve d’une mauvaise gestion des mots de passe, ou cliquent sur n’importe quel lien reçu par email, cela peut suffire à compromettre toute la sécurité informatique.
Les raisons d’une immaturité qui ne saute pas aux yeux
Plusieurs raisons expliquent cette immaturité en matière de cybersécurité. Il peut s’agir d’une mauvaise perception du risque, ou encore de la complexité et la fragmentation des solutions de sécurité existantes. Il faut savoir que les DSI des grandes entreprises ont souvent d’autres priorités que la cybersécurité, et elles ont besoin de plus de temps et de budget pour être performantes. La cybersécurité est surtout une question de culture d’entreprise.
Manque de sensibilisation aux cybermenaces
Beaucoup d’entreprises n’ont pas conscience du risque et ne prennent pas les mesures nécessaires pour se protéger. Cela peut être dû à un manque de sensibilisation, mais aussi à une mauvaise évaluation du risque.
Elles considèrent que les cyberattaques ne sont pas une menace pour elles, et les sociétés qui en ont conscience ne prennent pas toujours les mesures nécessaires.
Confiance excessive dans les mesures de sécurité actuelles
Seulement 60 % des entreprises ont un plan de réponse aux incidents de sécurité, et seulement 50 % d’entre elles testent régulièrement ce plan. Cela signifie que la majorité des entreprises ne savent pas comment réagir en cas d’attaque, et qu’elles ne sont pas préparées à affronter une menace !
Cela peut aussi s’expliquer par le fait que les entreprises ont du mal à évaluer le risque réel et ont donc tendance à surestimer la sécurité de leur organisation.
Stratégies de cybersécurité inefficaces
L’étude montre que les entreprises ont du mal à mettre en place une stratégie efficace de cybersécurité. En effet, seulement 18 % des entreprises ont une stratégie globale et intégrée de cybersécurité, et seulement 22 % ont une stratégie clairement définie.
Cela signifie que la majorité des entreprises n’a pas une vision globale de la sécurité informatique de leur organisation. Elles ne savent donc pas comment aborder les différents aspects de la cybersécurité.
Recommandations pour améliorer la posture de cybersécurité
La première recommandation est de sensibiliser les collaborateurs à la cybersécurité. Cela passe par une formation adéquate, mais aussi par un changement de culture dans l’entreprise. Il faut que les employés comprennent les enjeux de la cybersécurité et prennent les mesures nécessaires pour se protéger.
Améliorer la communication entre le comité exécutif et le RSSI
Selon l’étude, seulement 40 % des RSSI sont impliqués dans la stratégie de cybersécurité de leur entreprise. Ce sont pourtant souvent les RSSI qui ont les meilleures connaissances en matière de sécurité informatique. Les décisions en matière de cybersécurité sont donc prises sans leur input, ce qui est loin d’être idéal.
Il existe une mauvaise communication entre le comité exécutif et le RSSI qui va avoir des conséquences désastreuses. Par exemple, si le comité exécutif prend une décision qui va à l’encontre des recommandations du RSSI, cela peut compromettre toute la sécurité informatique. On retrouve ici la problématique du shadow IT.
L’utilisation d’un espace de travail collaboratif sécurisé comme celui de NetExplorer permettra de faciliter le partage et la mise à jour des informations sensibles.
Politique zéro trust (SASE)
Une autre recommandation est de mettre en place une politique du zéro trust, également appelée SASE (Secure Access Service Edge). Cela consiste à ne pas faire confiance aux utilisateurs, qu’ils soient internes ou externes. Tous les accès doivent être contrôlés et sécurisés, comme le propose la solution NetExplorer.
Cette approche est de plus en plus courante, car elle permet de mieux sécuriser les accès aux données sensibles. Elle est particulièrement recommandée pour les entreprises qui travaillent avec des données sensibles, comme les banques ou les hôpitaux.
Cloud computing sécurisé
La dernière recommandation est de migrer vers un cloud computing plus sécurisé. Le cloud souverain permet de respecter les réglementations européennes en matière de données, comme le RGPD (règlement général sur la protection des données). Il aide également à mieux sécuriser les données, car elles sont stockées dans des data centers sécurisés. L’assistance française en cas d’incident est aussi plus rapide et plus efficace.
