Le paysage numérique actuel est celui d'un monde de plus en plus connecté, qui offre certes d'innombrables possibilités, mais présente également des dangers importants.
Les conséquences dévastatrices des cyberattaques ne doivent pas être sous-estimées, puisqu'elles peuvent entraîner des pertes financières, des violations de données, des vols de propriété intellectuelle et des interruptions d'activité, sans oublier les atteintes à la réputation.
PUBLICITÉPourtant, une nouvelle enquête en double aveugle réalisée par Cisco a révélé une réalité surprenante : peu d'entreprises dans le monde sont parfaitement protégées contre les cyberattaques. Notamment en Europe, où seuls 9 % des organisations se considèrent « matures » face aux risques cyber (contre 15 % à l'échelle mondiale).
L'importance d'agir sur l'ensemble des processus et des technologies
L'indice de préparation à la cybersécurité de Cisco (le Cisco Cybersecurity Readiness Index ou CRI) met en évidence les activités dans lesquelles les entreprises sont performantes et les domaines dans lesquels les lacunes en matière de cybersécurité risquent de s'aggraver si les entreprises, les responsables de la sécurité et les responsables politiques n'agissent pas rapidement.
C’est un problème dont les responsables politiques européens ont bien conscience puisqu'ils ont accéléré les actions visant à améliorer la cybersécurité de l'UE dans tous les domaines : des infrastructures critiques à l'administration publique, en passant par les exigences en matière de cybersécurité des produits de consommation, pour n'en citer que quelques-uns.
Ces dernières années, les entreprises sont passées d'un modèle statique, limitant les informations à un seul réseau ou bâtiment, à un vaste réseau interconnecté s'étendant sur plusieurs sites. Une évolution qui crée des vulnérabilités, alors que, dans un même temps, les cyberattaques se font de plus en plus sophistiquées.
Cyberattaques : non pas « si », mais plutôt « quand »
Le manque de préparation face à la cybercriminalité est révélateur : 77 % des personnes interrogées en Europe ont déclaré s'attendre à ce qu'un incident de cybersécurité perturbe leur activité au cours des 12 à 24 prochains mois. Parallèlement, plus de la moitié (52 %) ont révélé avoir été victimes d'un incident de cybersécurité au cours des 12 derniers mois.
PUBLICITÉ81 % des personnes interrogées prévoyant d'augmenter leur budget de sécurité d'au moins 10 %, les chefs d'entreprise européens concèdent qu'ils doivent intensifier leurs efforts en matière de cyber-résilience. Car l'inaction a un coût encore plus élevé. En Europe, 32 % des entreprises touchées par une attaque estiment que celle-ci leur a coûté au moins 500 000 dollars.
Les principaux risques de cybersécurité : la gestion des identités
Dans tout environnement de travail hybride, il est essentiel que les entreprises puissent vérifier l'identité des personnes qui se connectent au réseau ou aux appareils de l’organisation.
Un quart des personnes sondées ont cité la gestion des identités comme principal risque de cybersécurité. Point rassurant néanmoins, presque toutes les entreprises interrogées ont mis en place des mesures garantissant que seuls les utilisateurs autorisés puissent accéder aux informations sensibles, telles que l'authentification multifactorielle.
Toutefois, les données du CRI suggèrent que la plupart des entreprises doivent appliquer d'autres mesures, et rapidement, si elles veulent pouvoir prévenir des incidents majeurs. Seuls 20 % des dirigeants internationaux, et 14 % des dirigeants européens se sont révélés pleinement préparés à faire face aux cybermenaces.
Les réseaux hybrides posent des risques considérables
La notion de réseau hybride mondial est à la base de la connectivité moderne, ce qui présente des facteurs de risque évidents et étendus. La sécurisation de l'infrastructure numérique aux niveaux local et de l'entreprise est indispensable au maintien de la cybersécurité.
Les réseaux sont vulnérables à plusieurs égards. S'ils ne sont pas correctement sécurisés, les pirates informatiques peuvent accéder à des informations sensibles. Les logiciels malveillants et les virus, qui s'introduisent souvent dans un système par le biais d'une pièce jointe à un courrier électronique, d'un lien ou d'un site web malveillant, constituent un autre danger et peuvent facilement se propager à travers des réseaux tout entiers.
D'autres problèmes liés aux réseaux incluent les attaques par déni de service, dans lesquelles la capacité d’un serveur est saturée.
Le CRI a observé que, si la plupart des organisations sont au moins partiellement préparées, très peu d’entre elles sont complètement équipées, 19 % seulement étant considérées comme « matures » à l'échelle mondiale.
Protéger les données, protéger la réputation, protéger la confiance
L'enquête de Cisco se penche également sur la protection des données. Les entreprises ont le devoir, souvent inscrit dans la législation, de protéger les données de leurs clients. Les violations de données peuvent exposer des informations confidentielles et perturber les activités ; et plus important encore, nuire à la réputation d'une entreprise. Cette confiance, une fois perdue, peut être difficile à regagner.
La grande majorité des entreprises interrogées reconnaît explicitement les lourdes conséquences que peut entraîner une absence de protection des données, et 50 % d'entre elles affichent un bon niveau de préparation. Toutefois, environ 22 % en sont encore au stade « débutant », prouvant qu'il y a encore beaucoup de progrès à faire.
PUBLICITÉLes étapes suivantes
Faire face aux défis de plus en plus complexes et fréquents posés par la cybersécurité est indispensable au bon fonctionnement de presque toutes les entreprises. Sécurité du cloud, tests réguliers et pare-feu ne sont que quelques outils qui devraient figurer dans l'arsenal de toute organisation.
Malheureusement, il n'existe pas de recette miracle pour se préparer aux cyberattaques. Chaque entreprise doit investir dans la cybersécurité en fonction de ses propres besoins. Le CRI de Cisco est un outil qui vise à renforcer la résilience en identifiant les points à améliorer, en signalant les possibles points faibles à corriger rapidement et en définissant les investissements prioritaires.
L'indice est le résultat d'une enquête menée auprès de dirigeants du secteur privé issus de diverses industries et régions, leur demandant d'évaluer les mesures de cybersécurité préventives en place dans leur entreprise et d'identifier les éléments susceptibles d'être améliorés.
Mais si cette étude de Cisco lance un signal d'alarme, renforcer la technologie ne suffit pas. Le personnel est un autre pilier essentiel de la cybersécurité, et le déficit de compétences en matière de cybersécurité est énorme. Pour que les outils numériques puissent continuer d'être utilisés en toute sécurité, les chefs d'entreprise doivent combler cette lacune. L'inclusion sociale et la résilience économique de l'Europe sur le long terme en dépendent.
