Des incidents de sécurité qui coûtent de plus en plus cher. Si les montants sont collossaux, les chiffres ne disent rien. En revanche, l’évolution en termes de pourcentage est plus «parlante»: + 34% par rapport à l’année précédente. Quant au nombre d’entreprises ayant déclaré des pertes de plus de 20 millions USD, il a quasiment doublé au cours de la même période !
D’après l’enquête de PwC intitulée The Global State of Information Security 2015, publiée avec le concours des magazines CIO et CSO, le nombre d’incidents informatique détectés par les entreprises à travers le monde s’élevait à 42,8 millions en 2013, soit 117 339 attaques informatiques par jour. Depuis 2009, le nombre d’incidents détectés a augmenté de 66% par an en moyenne.
«La hausse continue du nombre d’incidents déclarés et des coûts liés n’a rien de surprenant. Cependant, l’ampleur réelle des incidents est bien plus importante compte tenu des méthodes de détection et de déclaration employées. Les incidents non identifiés ou non-reportés sont également encore très nombreux», explique Vincent Villers, associé et responsable de la Cybersécurité et de la Sécurité de l’Information chez PwC Luxembourg.
Cependant, malgré les inquiétudes des entreprises, les budgets dédiés à la sécurité informatique ont en réalité diminué de 4% par rapport à 2013. En effet, les dépenses de sécurité en pourcentage du budget informatique sont restées bloquées à 4% ou moins au cours des cinq dernières années
«D’un point de vue stratégique, en matière de sécurité, les entreprises devront identifier et investir dans les technologies les plus à même de répondre aux menaces informatiques les plus sophistiquées. Il est essentiel d’assurer le financement d’un système robuste de gouvernance et de gestion de la sécurité, reposant sur des technologies offrant des fonctionnalités de prédiction, de prévention, de détection et de réponse aux attaques afin de limiter l’impact de ces incidents», poursuit Vincent Villers.
Quelle que soit leur taille ou leur secteur d’activité, les entreprises ont pris conscience des risques liés aux attaques informatiques. Les grands groupes subissent d’ailleurs davantage d’attaques que les entreprises plus petites. Les entreprises de taille moyenne -dont les revenus s’échelonnent entre 100 millions et un milliard USD- ont enregistré une hausse de 64% du nombre d’incidents détectés par rapport à l’année passée. Alors que les risques informatiques sont devenus omniprésents, il ressort de l’étude que les pertes financières varient grandement en fonction de la taille de l’entreprise.
D’après les résultats de l’enquête, les personnes travaillant au sein même de l’entreprise sont fréquemment désignées comme responsables de bon nombre d’incidents de cybercriminalité. Cependant, cette divulgation d’informations est souvent involontaire car elle résulte de la perte d’un appareil mobile ou d’une attaque ciblée de hameçonnage. Les personnes ayant répondu à l’enquête ont souligné une augmentation de 10% des incidents causés par les employés actuellement en poste. Le nombre d’incidents causés par les prestataires externes a également augmenté (+15% pour les prestataires actuellement en poste et +17% pour les anciens prestataires).
«De nombreuses entreprises préfèrent régler leurs affaires en interne, sans faire appel aux autorités ou à la justice pour combattre cette criminalité venue de l’intérieur. Cette démarche peut poser un risque pour les autres entreprises, qui pourraient embaucher ces mêmes employés délinquants. Des mécanismes et des entités, telles que le CIRCL (Computer Incident Response Center Luxembourg), existent et sont disponibles pour venir en aide aux entreprises, en toute confidentialité. Ces chiffres sont aussi la preuve qu’une entreprise doit sensibiliser régulièrement ses employés et les tenir informés des nouvelles menaces», explique Ludovic Raymond, senior manager au sein de l’équipe Cybersécurité et Sécurité de l’information chez PwC Luxembourg.
En outre, bien que l’incidence des attaques de haut niveau perpétrées par les états souverains, la criminalité organisée et les entreprises concurrentes soit actuellement très faible, ces menaces connaissent une croissance rapide. Cette année, le nombre de répondants ayant déclaré une attaque provenant d’un état souverain a augmenté de 86% par rapport à l’année précédente -en gardant à l’esprit que, de par leur nature, ces incidents ne font pas systématiquement l’objet d’une déclaration. Les résultats de l’étude soulignent également une augmentation de 64% du nombre d’attaques attribuées aux entreprises concurrentes, dont certaines peuvent être appuyées par un état souverain.
L’étude de PwC souligne encore l’importance de mettre en place des systèmes permettant de détecter les intrusions rapidement et d’y apporter une réponse efficace. De plus, au vu de l’interconnexion croissante entre les entreprises, il s’avère essentiel de mettre en place des processus stricts relatifs aux tiers qui interviennent dans l’entreprise.
«Les menaces ne pourront jamais être éliminées totalement. Les entreprises et les organisations doivent rester vigilantes et agiles face à la montée en puissance de la cybercriminalité. Elles doivent faire évoluer leurs systèmes actuels fondés sur la prévention et les contrôles vers une approche fondée sur les risques, donnant ainsi la priorité aux données vitales de l’entreprise et aux menaces qui s’y rapportent. Il sera ainsi essentiel pour les entreprises de renforcer la communication et les processus de sensibilisation en interne en matière de sécurité», assure Vincent Villers.