Toujours aussi nombreuses à considérer l’antivirus comme le principal outil pour assurer la sécurité de leurs données, les entreprises ont tendance à négliger les ressources additionnelles, quand bien même elles se disent conscientes des risques liés au développement leur infrastructure IT. C’est l’un des principaux constats établis par Kaspersky Lab dans la quatrième édition (document PDF, 26 pages) de son étude annuelle sur la protection des systèmes d’information.
Si la gestion des licences, la formation des utilisateurs ou encore la mise en place de plans de récupération après sinistre figurent parmi les priorités de la fonction IT, c’est bien la sécurité informatique qui arrive en tête des préoccupations. Plus d’un tiers des sondés (34 %) apportent une attention particulière à la protection des données face aux attaques ciblées. 29 % concentrent leurs efforts sur la détection et la résorption des failles logicielles ; 23 %, sur la continuité des systèmes critiques.
Concernant la gestion de l’infrastructure, la tâche la plus critique reste, selon les 3900 responsables interrogés dans 27 pays (dont 195 en France), l’uniformisation du déploiement des mises à jour (44 %), devant l’intégration des terminaux mobiles (35 %). Suivent la virtualisation des serveurs et des postes clients (30 %), la migration des OS (23 %) et la mise en oeuvre de politiques BYOD (12 %).
Les plus petites structures se montrent particulièrement inquiètes vis-à-vis de la mobilité et des logiciels malveillants. Mais au global, peu d’entreprises suivent réellement les tendances de la cybersécurité. Seuls 4 % des répondants fournissent une réponse acceptable à la question : « Combien de logiciels malveillants a-t-on, en moyenne, découvert chaque jour en 2013 ? » (315 000 selon Kaspersky Lab). Plus de 90 % des sondés sous-estiment le danger.
Certains réflexes ne sont pas encore totalement entrés dans la culture des entreprises : 33 % reconnaissent ne pas protéger l’intégralité de leurs postes clients avec un antivirus ; 49 % ne déploient pas régulièrement de mises à jour ; 56 % ne modulent pas les droits d’accès selon les partages réseau. En outre, 68 % ne mènent pas d’audit de sécurité auprès des partenaires qui accèdent à leur SI… alors même que ce vecteur est privilégié des pirates.
Concernant les sources d’attaques externes à l’entreprise, c’est le spam qui retient l’attention (à 64 %), devant les maliciels (61 %), le phishing (38 %) et les intrusions au sein du réseau (25 %). L’industrie de la défense et les organisations gouvernementales sont les plus touchées par les attaques ciblées. A contrario, les deux secteurs sont relativement épargnés par le déni de service (DDoS, qui vise à saturer serveurs et réseaux en les bombardant de requêtes).
Mais le risque existe aussi en interne. 36 % des entreprises l’ont cerné sous la forme de failles dans les logiciels qu’elles utilisent. 29 % des répondants déclarent avoir eu affaire à une mauvaise manipulation des employés sur des données auxquelles ils n’avaient normalement pas accès. Dans 26 % des cas, c’est le vol ou la perte de terminaux mobiles par le personnel qui sont cités (32 % dans la santé, 24 % dans le e-commerce) Pour plus de 50 % des entreprises victimes, il a fallu plus de 24 heures pour que le(s) responsable(s) de la sécurité en soient notifiés.
Près d’une entreprise sur six a aussi identifié des fraudes de la part de ses salariés, menant généralement à des fuites de données (43 % concernant la stratégie interne ; 31 %, les clients ; 22 %, les finances). Le préjudice lié à ce type d’incidents s’élève en moyenne à 720 000 dollars pour les grandes entreprises et 42 000 dollars pour les PME, avec des chiffres particulièrement élevés en France (1,31 million et 74 000 dollars). Les pertes liées à une attaque ciblée peuvent atteindre 2,54 millions de dollars en comptant les frais liés aux démarches légales, à la prise de contact avec des experts IT et à l’éventuelle rupture de contrats.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous le langage high-tech ?
Crédit photo : amaze646 – Shutterstock.com
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…