Protection – Cybersécurité – Système d’information
Rapport entre Sécurité et Risque
Nous sommes en présence d’une situation très contrastée en la matière.
En ce qui concerne les entreprises du CAC 40 et assimilées, nous pourrions penser que la cybersécurité est l’objet d’une stratégie globale déclinée en sous-éléments jusqu’à la plus petite unité leur appartenant.
Et que tout nouveau projet inclut dès sa conception des mesures attachées à la cybersécurité, pour lui-même, mais aussi pour toutes les interférences qu’il implique avec tous les autres éléments de l’organisation.
Ce qui ne semble pas être le cas selon le billet ci-après.
C’est ce qui ressort d’une étude publiée ce mardi (24/07/2018) par le cabinet Wavestone, consacrée au degré de maturité des entreprises du CAC 40 quant à la prévention des cyber-risques.
Les entreprises du CAC 40 ont pris conscience de l’importance de la cybersécurité au sein de l’entreprise. Pour autant, la grande majorité des investissements effectués ne reflètent pas de stratégie globale. Et la cybersécurité est encore oubliée lors du lancement de nouvelles innovations
Peut mieux faire. Si les entreprises du CAC 40 ont bien identifié le sujet de la cybersécurité, rares sont celles qui se saisissent du sujet à bras le corps. C’est ce qui ressort d’une étude publiée ce mardi par le cabinet Wavestone, consacrée au degré de maturité des entreprises du CAC 40 quant à la prévention des cyber-risques (voir méthodologie en bas de l’article). La bonne nouvelle ? 100% des rapports d’activité des entreprises du CAC 40 font mention des enjeux de sécurité des systèmes d’information, contre 95% en 2017 et seulement 73% en 2010.
« Il y a une vraie progression dans la prise de conscience », commente Gérôme Billois, expert cybersécurité au sein du cabinet d’études Wavestone. « En revanche, lorsque l’on regarde comment le sujet est traité, le bilan est mitigé. »
…
Source : La Tribune https://www.latribune.fr/technos-medias/cybersecurite-les-entreprises-du-cac-40-sont-a-la-traine-785823.html
Le « mois européen de la cybersécurité » a eu lieu en octobre 2018.
Cette initiative des pouvoirs publics vise à sensibiliser aux risques informatiques et aux bonnes pratiques à adopter pour y faire face.
Le billet ci-après nous démontre que malgré tous les efforts réalisés la partie ne semble pas gagner.
…
Malheureusement, les consignes en matière de sauvegardes préventives ou de politiques de sécurité ne sont pas toujours respectées. Il existe pourtant un certain nombre de « bonnes pratiques » à adopter.
…
Source : Franceinfo https://www.francetvinfo.fr/replay-radio/nouveau-monde/nouveau-monde-cybersecurite-quelles-menaces-comment-y-faire-face_2943349.html
Cet état de fait est confirmé par une étude PwC citée ci-après :
Seules un tiers des entreprises françaises considèrent la cybersécurité comme un enjeu prioritaire et deux sur dix seulement estiment être tout à fait capables de gérer une cyberattaque, selon une étude du cabinet PwC.
La perception du risque augmente avec la taille de l’entreprise, 27% des sociétés de moins de 100 salariés la jugeant prioritaire contre 56% de celles qui emploient au moins 500 personnes, selon cette étude réalisée à la fin de l’été par Ipsos pour PwC auprès de 600 cadres dirigeants.
« Tant que les entreprises n’ont pas été durement touchées, elles sont plutôt dans la sous-estimation voire le déni du risque. Conséquences : la dynamique des entreprises est curative au lieu d’être préventive », constate Rami Feghali, associé chez PwC, cité dans l’étude.
La facture de la cybercriminalité ne cesse pourtant d’augmenter : selon un rapport publié en février par le Center for Strategic and International Studies (CSIS) en partenariat avec McAfee, l’impact total sur les économies mondiales approche 600 milliards de dollars contre quelque 445 milliards en 2014.
…
Source : Sciences et Avenir https://www.sciencesetavenir.fr/high-tech/les-entreprises-dans-le-deni-face-au-risque-de-cyberattaques-selon-une-etude-pwc_128113
Vaste sujet pour certains, car la cybersécurité est considérée comme une problématique très technique et très pointue.
Il convient d’adapter nos investissements à la stratégie de protection que nous souhaitons. Non pas à un instant donné, mais dans le cadre d’un processus d’amélioration continue.
N’oublions pas que la technologie est un maillon de notre protection, mais qu’avant tout c’est l’humain qui est concerné. Recruter des experts ou des spécialistes de la sécurité informatique ou de la cybersécurité, sans omettre de tenir compte de notre RSSI s’il est présent, n’est pas suffisant et n’élimine pas tous les risques.
Nous devons inclure chaque collaborateur de notre organisation. En premier lieu, au travers de sensibilisations continues. En second lieu, par la diffusion d’une véritable culture du risque au travers de toute l’organisation.
Comment pratiquer ou, du moins, comment commencer?
Ne cherchons pas tout de suite la complexité et démarrons sur des mesures simples et adaptées à notre organisation, à notre stratégie et, surtout, en fonction de notre culture d’entreprise (à ne pas confondre avec la culture du risque évoquée précédemment qui est différente).
Le billet ci-après l’évoque clairement et précisément.
Pour faire face à cela, une politique de cybersécurité intelligente est indispensable. Si certaines bonnes pratiques doivent être respectées par les salariés et les équipes informatiques (mots de passe sécurisés, logiciels mis à jour, applications validées par la DSI en amont, etc.), les outils de protection sont également essentiels pour combattre des attaques toujours plus sophistiquées… mais encore faut-il qu’ils correspondent aux besoins de chacun : à chaque entreprise sa solution sur-mesure pour une protection optimale.
TPE et au delà : on mise sur le basique
…
PME : quelles problématiques, quelles solutions ?
…
Et pour les grandes entreprises ?
…
Source : MSN https://a.msn.com/r/2/BBOs7mr?m=fr-fr&referrerID=InAppShare
A consulter également :
Cybersécurité : les plus grandes menaces et vulnérabilités de 2019
Accès à privilèges : l’angle mort de la cybersécurité
Cybersécurité : le ransomware, n°1 des attaques en France
Les Défis Cyber : question de stratégie
La cybersécurité israélienne est la meilleure du monde
Les administrateurs face aux défis de la conformité, Conseil d’administration / surveillance
Retour sur la conférence CIO Sécurité de l’entreprise étendue — Cybercriminalité
Le guide complet de la cybersécurité pour les petites et moyennes entreprises – 2018
Cybersécurité : recruter des profils techniques pour sensibiliser les employés est une erreur
Pour les RSSI, les solutions de cybersécurité ne sont pas satisfaisantes
IMPLANTER UNE VERITABLE CULTURE DU RISQUE AU SEIN DES ENTITES !