Cybersécurité : les entreprises commencent à prendre le problème au sérieux

Les entreprises retirent leurs oeillères. Elles sont dans leur grande majorité bien conscientes d’être exposées au risque de la cybercriminalité ou de l’espionnage par les réseaux, d’après l’étude annuelle d’EY sur la sécurité de l’information menée auprès de 1 .700 organisations dans le monde. Pascal Antonini, associé EY, décrypte les résultats.

Plus de 88% des entreprises considèrent que leur système d’information ne répond pas aux besoins de sécurité de leur organisation. Comment l’expliquer ?

Pascal Antonini : Cela ne me surprend pas : les personnes que nous avons sondés considèrent qu’elles ont encore beaucoup de travail avant d’être aux normes. Avant, c’était plus simple : vous aviez des barrières de sécurité que vous mettiez en place et qui ne bougeaient pas. Suite à l’arrivée du numérique, du cloud, de l’hyper-communication, les systèmes d’information des entreprise ont été forcés de s’ouvrir vers des acteurs extérieurs. Aujourd’hui, on doit évoluer d’une posture défensive à de la surveillance.

Quelles sont les menaces qui effraient le plus les entreprises ?

C’est un ensemble de choses complexes. Ce qui va faire le plus peur aux entreprises, c’est une attaque qui va peut-être mettre des mois a se mettre en place dans l’entreprise, mais qui aura d’énormes conséquences une fois lancée. Ce type d’attaque passe souvent par l’envoi de mails à des collaborateurs qui vont cliquer sur des liens, qui ensuite vont contaminer le système informatique.

Les entreprises sont-elles armées face aux cyberattaques ?

Tout dépend de quel entreprise on parle. 36% d’entre elles disent qu’elles seraient à même de détecter une attaque sophistiquée. Plus globalement, il y a un mouvement d’amélioration, mais en même temps, les attaques se sophistiquent. Toutes les entreprises ont mis en place des système de cybersécurité. Le problème est mieux traité qu’auparavant. Nous considérons pourtant que ce n’est pas encore suffisant. Le piratage de TV5 Monde en avril dernier a sans doutes fait bouger les choses, mais les programmes de sécurisation prennent du temps.

Quelles sont les faiblesses de l’entreprise face aux cyberattaques ?

Il y a bien sûr les salariés eux-même. Les employés peuvent être un maillon faible dans la sécurité du SI. Par exemple, quand ils travaillent avec leur ordinateurs ou une clés USB personnelle au sein du réseau de l’entreprise, il peuvent y importer un logiciel malveillant ou un virus. Les attaquants leur envoient parfois des mails contrefaits pour les inciter à cliquer sur un lien infecté. Pour éviter ce phishing, il faut sensibiliser sur ses pratiques. Même après qu’il a quitté l’entreprise, un collaborateur reste un risque si l’entreprise ne ferme pas son accès au réseau. Il va sans dire qu’installer des logiciels sans penser à la sécurité n’est plus possible. Il faut appliquer « la règle des 3 A ». Il faut activer la sécurité, l’adapter et anticiper. Adapter, c’est adapter ses mesures de sécurité en fonction des évolutions du système d’information. La cybersécurité comporte un part de maintenance. Enfin, il y a le manque d’anticipation qui est très dommageable pour l’entreprise.

Quelles évolutions avez-vous constaté entre 2014 et 2015 ?

La confiance des entreprises dans leur capacité à faire face aux attaques reste stable. Seul deux tiers d’entre elles s’estiment dans cette situation. Ce qui a changé, c’est que les entreprises sont aujourd’hui davantage effrayées par les attaques menées par des organisations criminelles que par celle élaborées par des Etats ou des employés mécontents.

Que peuvent faire les entreprises pour se protéger ?

Les entreprises qui mettront en œuvre les actions appropriés devraient se retrouver davantage en sécurité. Elles doivent acquérir des compétences, des ressources, en interne ou en externe. Ce qui est important, c’est qu’elles comprennent leur exposition au risque et qu’elles soient au clair sur leur posture actuelle. A elles, d’identifier un certain nombre d’améliorations. Grâce à cela, elles vont pouvoir définir une feuille de route et voir quels sont les changements qu’elles doivent réaliser. Mais celles qui réussiront seront celles qui continueront d’assurer la maintenance de leur sécurité.