Sécurité IT : des entreprises dépassées par le contexte ?

Régulations
securite-it-kaspersky-2014

Kaspersky Lab met en avant les tergiversations des entreprises de toutes tailles face à la variété des menaces de sécurité auxquelles elles sont confrontées.

Toujours aussi nombreuses à considérer l’antivirus comme le principal outil pour assurer la sécurité de leurs données, les entreprises ont tendance à négliger les ressources additionnelles, quand bien même elles se disent conscientes des risques liés au développement leur infrastructure IT. C’est l’un des principaux constats établis par Kaspersky Lab dans la quatrième édition (document PDF, 26 pages) de son étude annuelle sur la protection des systèmes d’information.

Si la gestion des licences, la formation des utilisateurs ou encore la mise en place de plans de récupération après sinistre figurent parmi les priorités de la fonction IT, c’est bien la sécurité informatique qui arrive en tête des préoccupations. Plus d’un tiers des sondés (34 %) apportent une attention particulière à la protection des données face aux attaques ciblées. 29 % concentrent leurs efforts sur la détection et la résorption des failles logicielles ; 23 %, sur la continuité des systèmes critiques.

Concernant la gestion de l’infrastructure, la tâche la plus critique reste, selon les 3900 responsables interrogés dans 27 pays (dont 195 en France), l’uniformisation du déploiement des mises à jour (44 %), devant l’intégration des terminaux mobiles (35 %). Suivent la virtualisation des serveurs et des postes clients (30 %), la migration des OS (23 %) et la mise en oeuvre de politiques BYOD (12 %).

Les plus petites structures se montrent particulièrement inquiètes vis-à-vis de la mobilité et des logiciels malveillants. Mais au global, peu d’entreprises suivent réellement les tendances de la cybersécurité. Seuls 4 % des répondants fournissent une réponse acceptable à la question : « Combien de logiciels malveillants a-t-on, en moyenne, découvert chaque jour en 2013 ? » (315 000 selon Kaspersky Lab). Plus de 90 % des sondés sous-estiment le danger.

Des protections pas toujours en place

Certains réflexes ne sont pas encore totalement entrés dans la culture des entreprises : 33 % reconnaissent ne pas protéger l’intégralité de leurs postes clients avec un antivirus ; 49 % ne déploient pas régulièrement de mises à jour ; 56 % ne modulent pas les droits d’accès selon les partages réseau. En outre, 68 % ne mènent pas d’audit de sécurité auprès des partenaires qui accèdent à leur SI… alors même que ce vecteur est privilégié des pirates.

Concernant les sources d’attaques externes à l’entreprise, c’est le spam qui retient l’attention (à 64 %), devant les maliciels (61 %), le phishing (38 %) et les intrusions au sein du réseau (25 %). L’industrie de la défense et les organisations gouvernementales sont les plus touchées par les attaques ciblées. A contrario, les deux secteurs sont relativement épargnés par le déni de service (DDoS, qui vise à saturer serveurs et réseaux en les bombardant de requêtes).

Mais le risque existe aussi en interne. 36 % des entreprises l’ont cerné sous la forme de failles dans les logiciels qu’elles utilisent. 29 % des répondants déclarent avoir eu affaire à une mauvaise manipulation des employés sur des données auxquelles ils n’avaient normalement pas accès. Dans 26 % des cas, c’est le vol ou la perte de terminaux mobiles par le personnel qui sont cités (32 % dans la santé, 24 % dans le e-commerce) Pour plus de 50 % des entreprises victimes, il a fallu plus de 24 heures pour que le(s) responsable(s) de la sécurité en soient notifiés.

Près d’une entreprise sur six a aussi identifié des fraudes de la part de ses salariés, menant généralement à des fuites de données (43 % concernant la stratégie interne ; 31 %, les clients ; 22 %, les finances). Le préjudice lié à ce type d’incidents s’élève en moyenne à 720 000 dollars pour les grandes entreprises et 42 000 dollars pour les PME, avec des chiffres particulièrement élevés en France (1,31 million et 74 000 dollars). Les pertes liées à une attaque ciblée peuvent atteindre 2,54 millions de dollars en comptant les frais liés aux démarches légales, à la prise de contact avec des experts IT et à l’éventuelle rupture de contrats.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous le langage high-tech ?

Crédit photo : amaze646 – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur