sam. Déc 7th, 2019
cybersecurite

Qu’est-ce qui cloche dans la cybersécurité ? Le manque d’investissements

Par NTT Security

Le rapport Risk:Value 2019 de NTT Security souligne le manque d’investissements dans la cybersécurité, notamment en France. Il met également en avant la méconnaissance des entreprises en matière de conformité, l’incapacité persistante à sécuriser les données critiques et l’augmentation du temps de reprise après un incident de sécurité (+10 jours par rapport à 2018). La performance des entreprises en France s’est dégradée alors que l’Inde est aujourd’hui le pays le plus performant en matière de cybersécurité devant les États-Unis et le Royaume-Uni.

Les entreprises françaises et plus largement celles à travers le monde stagnent dans leur progression vers un renforcement de leur cybersécurité et semblent paralysées face aux techniques toujours plus sophistiquées des cybercriminels. Telle est la conclusion tirée des résultats du rapport Risk:Value 2019 mené auprès de 2 256 décideurs d’entreprise dans 20 pays  – dont 200 français – commandé par NTT Security, branche sécurité et centre d’excellence en sécurité du groupe NTT.

Cette année, les résultats révèlent que les entreprises sont conscientes des dangers représentés par les cybermenaces, classant la cybersécurité et le vol de données parmi les cinq principaux risques pour leur entreprise ; certes derrière les facteurs économiques, mais loin devant d’autres problèmes mondiaux comme l’environnement, les barrières au commerce international et l’instabilité politique. La grande majorité des participants à l’enquête – 78 % pour les Français – pensent qu’une cybersécurité forte est bénéfique à leur entreprise. 90% considèrent même que la cybersécurité a un rôle majeur à jouer dans la société plus largement.

Fait marquant : les entreprises indiennes, dont le pays est un nouveau venu dans l’étude, sont les plus performantes au monde dans le domaine de la cybersécurité, devant leurs homologues américaines et britanniques. Alors que la moyenne internationale stagne, la performance des entreprises en France, en Allemagne et à Singapour s’est dégradée l’an passé, tout comme celle des services financiers, des télécommunications, de la chimie, de l’industrie pharmaceutique, du secteur pétrolier et gazier ou des établissements de santé privés, semant le doute sur la robustesse d’infrastructures nationales critiques.

Stagnation des entreprises françaises – et plus largement mondiales

  • Tout comme l’année dernière, 44 % des participants français à l’enquête jugent que la totalité de leurs données critiques sont « entièrement sécurisées » – 48 % à l’échelle mondiale.
  • Bien que 83 % des participants français estiment important de se conformer aux réglementations, 1 sur 5 ignore lesquelles s’appliquent à leur entreprise.
  • Seuls 37 % pensent être soumis au RGPD, alors que le réglement est entré en vigueur depuis un an, et qu’il affecte toutes les entreprises ayant des activités ou des clients dans un Etat membre de l’UE.
  • Les budgets alloués à la sécurité ne suivent pas la croissance du cyber-risque : l’augmentation du pourcentage des budgets IT alloués à la sécurité n’est que de 15 % cette année et le pourcentage du budget d’exploitation attribué à la sécurité a diminué depuis 2018, passant à 14 %
  • Les entreprises manquent encore de proactivité en matière de politique et de processus internes. 49 % des entreprises françaises – contre 58 % à l’échelle mondiale – ont mis en place une politique formelle de sécurité informatique,  tandis que 46 % disposent d’un plan de réponse aux incidents – contre 52 %.
  • Près de la moitié des responsables français interrogés (46 %) pense que la cybersécurité « est le problème du département informatique et non de l’entreprise dans son ensemble ».
  • 38 % des entreprises françaises se déclarent à court de compétences ou de ressources. Ce constat demeure inchangé d’une année sur l’autre, ce qui semble indiquer que celles-ci ont davantage besoin de l’assistance d’un prestataire de sécurité externe.

Incidents de sécurité : les coûts et le temps de restauration de l’activité en forte hausse

Le rapport Risk:Value 2019 révèle également que le temps de reprise d’activité suite à un incident de sécurité ne cesse d’augmenter d’année en année, celui-ci étant évalué à 49 jours en moyenne en France soit 10 jours supplémentaires par rapport à 2018. A l’échelle mondiale, ce temps est encore plus long avec une moyenne de 66 jours, soit 9 jours supplémentaires par rapport à 2018. Le pourcentage estimé de perte de chiffre d’affaires est lui aussi en hausse chaque année avec 10,4 % en 2019 en France et 12,7 % au niveau mondial.

Le coût de reprise d’activité suite à un incident de sécurité demeure élevé selon le rapport, atteignant 690 000 euros en France contre 1 millions d’euros (M€) en moyenne dans le monde. Dans les pays nordiques notamment, les prédictions en termes de coûts sont bien plus importantes, montant à 1,6 M€ en Norvège et culminant en Suède à 2,7 M€, soit plus du double de la moyenne mondiale. L’industrie pétrolière et gazière vient en tête des secteurs dans ce domaine avec un coût de reprise d’activité se chiffrant à 2 M€.

« Le rapport Risk:Value montre l’immobilisme des entreprises dans leur préparation en matière de cybersécurité. Les cybercriminels mettent donc à profit cette paralysie, ce qui explique pourquoi les piratages de données continuent de faire les gros titres. », commente Christophe Jourdet, EMEA Alliance Manager chez NTT Security.

« Il est clair que les décideurs voient dans la sécurité un facilitateur, qui peut être bénéfique à leur entreprise et à la société en général. Toutefois, bien que sensibilisées aux risques, les entreprises n’ont pas toujours la capacité, voire la volonté, de les gérer efficacement. Nous enregistrons encore des réponses insuffisantes concernant la politique interne de sécurité et les plans de réponse aux incidents, par exemple, ainsi qu’une méconnaissance des réglementations applicables aux entreprises, le tout reposant sur l’attente qu’en cas de problème, la responsabilité en incombe au département informatique. Il est nécessaire d’améliorer la conception et l’exécution des stratégies de cybersécurité, sous peine de voir s’accentuer les risques pour les entreprises concernées. »

Pour en savoir plus sur le rapport Risk:Value 2019 de NTT Security et en télécharger un exemplaire, rendez-vous sur : nttsecurity.com/riskvalue2019-fr

Méthodologie de l’étude NTT Security Risk:Value 2019

Commandée par NTT Security, l’étude Risk:Value 2019 a été réalisée par Jigsaw Research en février-mars 2019. Au total, 2 256 décideurs non IT ont été interrogés dans les pays suivants : Etats-Unis, Japon, Royaume-Uni, Allemagne, Autriche, Suisse, France, Belgique, Pays-Bas, Luxembourg, Espagne, Italie, Suède, Norvège, Hong Kong, Singapour, Inde, Australie, Brésil et Chili. Les participants à l’enquête travaillent dans le développement, la stratégie, la finance, la vente, l’opérationnel, la production, les RH et le marketing. Dans leur majorité, les entreprises consultées comptent plus de 500 salariés, opérant dans 17 secteurs d’activité.
NTT Security évalue les bonnes et mauvaises pratiques en matière de cybersécurité sur une échelle de -41 à +27, reflétant les nombreux facteurs sur lesquelles les entreprises doivent se focaliser afin d’améliorer leur sécurité.

%d blogueurs aiment cette page :