Selon l'étude globale TMT Global Security publiée aujourd'hui par le cabinet Deloitte, en 2013, pour les cadres des plus grandes entreprises mondiales TMT, la mise en place d'une stratégie et d'une feuille de route, en tant que premiers moteurs d'amélioration de la sécurisation de l'information, a détrôné la conformité réglementaire. L'étude révèle également les prémices de la prise de conscience des entreprises quant à la nécessité de la sécurisation de l'information, désormais considérée comme un enjeu majeur pour leur activité. Au-delà de la sécurité, les entreprises tendent à rechercher de plus en plus la cyber-résilience.
L'enquête, qui a également identifié un manque de sensibilisation des employés ainsi que des risques inhérents à des tiers comme principales failles sécuritaires, préconise un investissement des entreprises TMT dans la formation et la sensibilisation de leurs collaborateurs à la sécurité de l'information afin d'atténuer les risques liés aux nouvelles technologies.
D'après Jacques Buith, Responsable Monde de la Sécurité et de la Résilience TMT de DTTL, « La question n'est pas de savoir si vous serez attaqué, mais de déterminer comment vous réagirez et sous quel délai. Les clés d'une gestion efficace des risques liés à la sécurité de l'information résident dans une solide combinaison entre prévention, détection précoce et réponse rapide. Etre cyber-résilient est tout aussi important, voire plus, que d'être cybersécuriséà titre individuel. »
Partenariat pour la cyber-résilience
En outre, l'enquête pointe un excès de confiance en la protection contre les menaces extérieures, 88 % des cadres ne considérant pas que leur entreprise soit vulnérable de ce point de vue. Toutefois, en poussant l'analyse encore plus loin, nous constatons que plus de la moitié des cadres reconnaît avoir été victime d'une menace sécuritaire au cours de l'année 2012. De plus, moins de la moitié des cadres interrogés a indiqué disposer d'un plan d'intervention pour réagir à une attaque sécuritaire, et seuls 30 % croient que des tiers assument une responsabilité suffisante dans la cybersécurité. Sur les 121 cadres interrogés, 74 % placent les cyber-attaques aux tiers parmi les trois menaces principales qui les visent, suivies par les attaques par déni de services et les erreurs ou omissions des collaborateurs.
Marc Ayadi, Associé Risques et Services IT Advisory chez Deloitte remarque pour compléter : « Toutes les entreprises sont des cibles potentielles et la prévention garantie à 100 % n'existe pas. La détection et la réaction sont les clés de la lutte contre les attaques. Face à ce constat, les entreprises du secteur public et celles du secteur privé devraient collaborer davantage en 2013 dans tous les secteurs des TMT en partageant leurs expériences et leurs propres réponses, afin de développer des capacités de réaction plus fortes et une réponse plus solide à ces menaces. Les entreprises ne devraient pas se contenter de collaborer avec leurs partenaires commerciaux extérieurs traditionnels pour comprendre et améliorer leurs pratiques en matière de sécurité ; elles devraient également sensibiliser et impliquer davantage les responsables politiques ainsi que les organismes de réglementation et de contrôle, tout en favorisant le partage des informations sensibles sur les attaques qu'elles subissent afin d'aider à faire face à ce problème mondial que pose le cyber-risque. »
Les autres grandes menaces identifiées par les cadres interrogés incluent les attaques APT (Advanced Persistent Threats) (64 %) et l'hacktivisme (63 %). Ce dernier constitue une nouveauté pour cette enquête. Il combine l'activisme social ou politique avec le piratage. Alors que plus de la moitié des personnes interrogées collecte des renseignements à caractère général, seuls 39 % rassemblent des informations sur les attaques ciblées propres à leur entreprise, leur secteur, leur marque ou leurs clients. Les personnes, la technologie et les appareils mobiles
Selon l'enquête, les innovations technologiques et les personnes qui les utilisent constituent également l'une des menaces les plus importantes. 70 % des cadres considèrent que le manque de sensibilisation de leurs employés à la question de la sécurité rend leur entreprise « moyennement » ou « fortement » vulnérable. Les employés qui ne sont pas assez sensibles aux questions de sécurité peuvent mettre en danger leur entreprise en discutant en public de sujets professionnels, en répondant à des courriels d'hameçonnage, ou encore en permettant à des personnes non autorisées de pénétrer dans les locaux de l'entreprise. De surcroît, l'étude constate que les nouvelles technologies amplifient le phénomène. Bien qu'elles pourvoient les entreprises de nouvelles fonctionnalités puissantes et bénéfiques, elles introduisent également de nouveaux risques sécuritaires à une vitesse que de nombreuses entreprises ne peuvent gérer. 74 % des cadres considèrent le téléphone mobile et le fait d'apporter ses propres équipements mobiles (Bring-your-own-device, BYOD) au sein de l'entreprise comme une préoccupation constante. Néanmoins, seule la moitié des entreprises interrogées indique avoir mis en place des politiques spécifiques relatives à l'utilisation des équipements mobiles sur le lieu de travail.
A propos de l'étude de DTTL sur la sécurité mondiale des TMT
L'objectif de l'étude de DTTL sur la sécurité mondiale des TMT consiste à fournir aux entreprises TMT un aperçu des défis et des menaces en matière de sécurité et de confidentialité auxquels elles sont ou seront confrontées en tant qu'entreprises. L'étude analyse les réponses données lors d'entretiens avec des responsables de la sécurité de 121 entreprises de TMT dans 38 pays différents représentant toutes les régions du monde. L'étude a sondé des participants évoluant dans les trois secteurs des TMT et couvrant toutes les catégories de revenus.
