Colloques et études sur la cybersécurité se multiplient. Et ce n’est pas un hasard, car les incidents en matière de cybersécurité seraient en forte hausse.

C’est ainsi ce qu’a confirmé l’étude du cabinet PwC sur la sécurité de l’information, réalisée entre mars et mai 2014, en coordination avec les magazines CIO et CSO, auprès de 9700 DSI et responsables informatiques dans plus de 150 pays différents. En effet, selon cette étude, le nombre d’incidents de cybersécurité déclarés aurait augmenté de 48 % en 2014, pour un nombre d’attaques désormais égal à 117 339 par jour.

Nouveaux dangers, nouvelles cibles, nouveaux enjeux, tandis que les coûts de ces attaques augmentent, pour les grosses, comme pour les petites structures, les budgets eux ne suivent pas la même courbe. Les entreprises sont-elles suffisamment informées de la situation ? L’enjeu de la cybersécurité est-il traité à sa juste valeur ? Nous allons tâcher d’éclaircir ces deux points avec cet article.

Des risques en forte progression

En janvier 2014, Manuel Valls, alors Ministre de l’Intérieur, était venu présenter les grandes lignes de sa politique en matière de sécurité informatique lors de la 6ème édition du Forum International de la Cybersécurité. Un phénomène selon lui en pleine expansion.

Pour appuyer ses dires, Manuel Valls cite en effet l’exemple de deux PME françaises, victimes en décembre 2013 d’escroqueries aux faux ordres de virement pour des montants respectifs de 480 000 € et 450 000€.

Les pirates auraient introduit le SI de l’entreprise et finalisés la transaction. Les préjudices de ces types d’escroquerie représenteraient ainsi pour les entreprises françaises plusieurs centaines de millions d’euros depuis 2011.

 

Les PME et l’Europe touchés

Ces chiffres sont appuyés par plusieurs études récentes en matière de cybersécurité, d’autant que le problème touche de plus en plus des entreprises de toutes tailles : selon le rapport annuel sur la sécurité de Symantec paru en 2013, les attaques ciblées auraient augmentées de 42% dans le monde, et les PME représenteraient désormais 31% de ces attaques.

De plus, autre raison de considérer le problème avec attention : les plus fortes progressions se produiraient actuellement en Europe : ainsi, selon l’étude du cabinet PwC sur la sécurité de l’information, une hausse de 41 % des incidents aurait été détectées en Europe en 2014, contre une augmentation de seulement 11% en Amérique du Nord et de 5 % pour la région Asie-Pacifique.

Sensibilisation des entreprises : quelles initiatives ?

Devant une telle recrudescence des attaques et failles de sécurité informatique, il importe que les entreprises soient informées et sensibilisées, afin de prendre des décisions en adéquations avec ces changements.

Des organismes tel que le CIGREF prennent aujourd’hui des initiatives visant à sensibiliser non seulement les dirigeants, mais également les collaborateurs des entreprises. Car bien souvent, un problème de sécurité vient d’une mauvaise préparation des employé à des pratiques simples de sécurité.

Pour ce faire, le CIGREF utilise plusieurs dispositifs, notamment une formation sur la “Sécurité des usages numériques”, ou encore un serious game appelé “Keep an Eye”, qui devrait être accessible début 2015 mais dont le teaser est disponible  sur le site du Cigref.

Cybersécurité : faut-il reconsidérer politiques et budgets ?

Si la sensibilisation est importante, c’est bien parce qu’il semble aujourd’hui que les entreprises ne mesurent pas encore les risques auxquelles elles s’exposent avec des politiques de sécurité réduites au minimum. En effet, depuis 2008 et la crise économique, l’heure est à la rationalisation des budgets.

Ainsi, l’étude du cabinet PwC sur la sécurité de l’information nous confirme qu’en 2014 les entreprises ont prévu de baisser leur budget en matière de sécurité de l’information de 4% par rapport à 2013, soit un budget moyen de 4,1 millions de dollars.

Selon Philippe Trouchaud, associé spécialiste de la cybersécurité chez PwC, cela n’est pas étonnant car “les entreprises sous-estiment encore de nombreuses menaces, comme par exemple celles provenant de leurs collaborateurs ou des Etats”

 

Mais lorsqu’on est une PME, comment faire pour bénéficier d’une sécurité informatique fiable, sans avoir à investir dans des budgets faramineux en audit de sécurité, matériel et compétences expertes ?

Pour les petites ou moyennes entreprises, la solution la plus accessible semble être sans aucun doute l’externalisation de la gestion de la sécurité informatique, qui se traduit généralement par une externalisation de la gestion globale du système d’information.

Ainsi, stocker ses données dans un datacenter hautement sécurisé, les faire monitorer par des prestataires spécialisés dans ce domaine, et faire gérer de façon organisée et rationnelle les niveaux d’accès de chacun des collaborateurs en fonction de la criticité de l’information permet de parvenir à fiabiliser le système d’information de l’entreprise, pour des coûts qui sont répartis dans le temps et sont à la portée de toute structure.

Pour en savoir plus, n’hésitez pas consulter nos différentes formules d’infogérance et d’externalisation informatique.

Dernière mise à jour le 29 décembre 2018