in Sécurité

Le rapport Cybersécurité : Risque & Valeur = 2/3 des cadres dirigeants d’entreprise s’attendent à subir tôt ou tard une cyberattaque, mais n'en perçoivent pas les conséquences à long terme

Une enquête NTT Com Security révèle que moins de 10 % des personnes interrogées considèrent qu’un niveau faible de sécurité constitue un risque majeur pour leur entreprise

D’après un nouveau rapport NTT Com Security, le spécialiste mondial de la gestion du risque et de la sécurité de l’information, les entreprises ne perçoivent pas la sécurité de l’information comme un risque majeur. Extrait d’une enquête menée auprès de 800 cadres dirigeants (hors fonction IT) en France, en Australie, en Allemagne, à Hong Kong, en Norvège, en Suède, au Royaume-Uni et aux États-Unis, le rapport « Cybersécurité : Risque & Valeur » étudie le niveau de risque et la valeur que les cadres dirigeants de grandes entreprises accordent à la sécurité des données et de l’information.

Marylise Jacottin, General Manager NTT Com Security France, revient sur les résultats obtenus dans l’Hexagone : « La France a encore du chemin à parcourir pour sensibiliser les individus à la cybersécurité et à l’impact d’une attaque. Alors que plus de la moitié des personnes interrogées considèrent que la sécurité des données est vitale pour l’organisation en Angleterre, en Allemagne et en Australie, ils ne sont que 38% en France… »

Ce retard s’illustre de plusieurs façons:

  • En France, seuls 32% des personnes interrogées déclarent que leur entreprise à un plan de réponse à incident en cas de faille. Les Anglais, Allemands et Australiens sont meilleurs élèves avec respectivement 67%, 55% et 56% des répondants.
  • Par ailleurs, la France est l’un des deux seuls pays dans lesquels la majorité des senior executives considèrent qu’une faille de sécurité n’aurait aucun impact sur le chiffre d’affaires (24%). Et ils vont même encore plus loin : ils sont les plus nombreux à considérer qu’une faille de sécurité n’aura aucun impact d’aucune sorte sur l’activité de leur entreprise (12%) !
  • Enfin, alors qu’une majorité des répondants anglais, allemands et australiens s’en remet à l’équipe IT de son entreprise pour accéder de façon sécurisée aux données de la compagnie quelque soit le terminal utilisé … ils sont une majorité de Français (45% des répondants de l’Hexagone) à ne faire confiance qu’à eux-mêmes pour consulter et exploiter les données d’entreprise de façon sécurisée.

A l’échelle internationale, il en ressort que près des deux tiers (63 %) des personnes interrogées s’attendent à subir une violation de sécurité à plus ou moins brève échéance, mais que moins d’un sondé sur dix (9 %) considère « une mauvaise sécurité des données » comme le plus grand risque pour leur entreprise. Pour la majorité des participants à l’enquête, le véritable risque se trouve dans la perte de parts de marché, la pénurie de compétences ou la baisse des bénéfices.

Ces grands décideurs ne perçoivent pas non plus les conséquences durables –en termes de coûts et de temps – d’une faille de sécurité dans leur entreprise. Si plus de la moitié (59 %) affirment que le préjudice serait minime sur le long terme, une bonne partie s’accorde à dire qu’un vol de données nuirait à leur réputation (60 %) et à la confiance que leur accordent leurs clients (56 %). Quant à l’impact financier d’un tel incident, il s’établirait en moyenne autour de 8 % de perte de chiffre d’affaires selon les personnes interrogées. Toutefois, 17 % n’y voient aucune menace sur leurs recettes, tandis qu’un quart (25%) admettent n’avoir aucune idée des conséquences financières d’une cyberattaque.

« La question est de savoir si les cadres dirigeants perçoivent les risques réels pour leur organisation aussi bien qu’ils comprennent la valeur d’une sécurité des données performante. Il semble que l’on atteint un niveau d’indifférence inquiétant », estime Garry Sidaway, Vice Président Senior de la stratégie sécurité & alliances chez NTT Com Security. « Lorsque nous leur avons demandé ce qu’évoquait pour eux la notion de « sécurité des données », seule la moitié d’entre eux l’ont jugée « vitale » pour l’entreprise, tandis que moins de 50 % y voyaient une « bonne pratique » et moins d’un quart un « levier pour l’activité ». Malheureusement, la majorité associe encore la sécurité à la protection des données ou de la vie privée. »

« Le rapport révèle aussi qu’il existe une réelle différence entre le coût d’une faille de sécurité et l’importance que les organisations accordent à la sécurité informatique pour limiter ces coûts. À une époque où les incidents de sécurité font chaque jour les gros titres et où les violations de données entraînent des pertes de plus en plus colossales – 1,4 million d’euros en moyenne dans les grandes entreprises1 – un incident de sécurité majeur pourrait avoir de vastes répercussions allant de l’altération de la réputation à l’impact sur, le cours de l’action et la capacité d’une entreprise à attirer les meilleurs talents. »

Le rapport « Cybersécurité : Risque & Valeur » se penche sur quatre grands thèmes : la politique en matière de données, la sécurité de ces données, l’impact d’une violation de sécurité et les connaissances/comportements individuels.

Politique de l’entreprise en matière de données

  • En moyenne, 10 % du budget informatique d’une entreprise est consacré à la sécurité des données/de l’information, même si 16 % des personnes interrogées ignorent tout des montants alloués.
  • Environ la moitié (49 %) qualifie la sécurité des données de « coûteuse », tandis que 18 % la considèrent comme « perturbatrice ».
  • Plus de la moitié (57 %) des personnes interrogées ont mis en place une politique formelle de sécurité des données, mais seules 47 % disposent d’un plan de reprise d’activité (PRA) en cas de violation.

Sécurité des données

  • Moins de la moitié des personnes interrogées (44 %) affirment que toutes leurs données critiques sont « totalement sûres ».
  • 55 % des sondés reconnaissent l’importance capitale des données clients (consommateurs) pour la croissance de leur entreprise, mais seuls 38 % affirment que toutes leurs données clients sont « totalement sûres ».
  • 45 % reconnaissent l’importance capitale des données de performances métiers pour leur entreprise, mais seuls 31 % affirment que toutes ces données sont « totalement sûres ».

Impact d’une violation de sécurité des données

  • Environ trois quarts (72 %) des personnes interrogées déclarent qu’il est crucial pour leur entreprise d’être assurée contre les violations de sécurité.
  • Moins de la moitié (48 %) déclarent que leur assurance couvre la perte de données et la violation de sécurité.
  • Un quart ignore l’étendue de leur couverture en cas de violation de sécurité des données.

Connaissances et comportements individuels

  • Moins de la moitié (41 %) ne reçoivent aucune information régulière de leur équipe de sécurité informatique quant à d’éventuelles attaques ou menaces potentielles.
  • 28 % se basent sur leur propre jugement pour décider des « comportements sûrs » à adopter pour l’utilisation/l’accès à leurs données professionnelles, mais un cinquième seulement (21 %) affirment que la sécurité des données relève de la responsabilité conjointe de l’équipe IT et de la leur.

Simon Church, PDG de NTT Com Security, ajoute : « La plupart des cadres dirigeants d’entreprise ne se sentent pas directement concernés par les problématiques et les risques que les technologies font courir à leur entreprise. En tant qu’industrie, nous devons être plus intelligents en sensibilisant les entreprises à l’impact d’une faille de sécurité et trouver les ressorts pour élever la sécurité de l’information du rang de « question importante » à celui d’« élément vital ». Nous devons insister sur le fait qu’elle devient une partie intégrante de l’exposition globale au risque d’une entreprise, et mérite la même considération que les bénéfices et la réputation. »

 

1 Source : 2014 Information Security Breaches Survey, PricewaterhouseCoopers (PwC), en association avec le Department for Business, Innovation and Skills au Royaume-Uni.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.