IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La plupart des PDG sont dans l'ignorance des attaques informatiques essuyées par leurs sociétés
D'après une étude de la Ponemon Institute

Le , par Stéphane le calme
10 commentaires

0PARTAGES

2  0 
Les cyberattaques continuent de croître en nombre et en complexité. Pourtant, la grande majorité des responsables en entreprises semblent encore vraisemblablement ignorer la vulnérabilité de leurs réseaux et données.

A la demande de Lancope, l'institut de recherche Ponemon a mené une enquête auprès de 674 professionnels des TIC et de la sécurité aux États-Unis et au Royaume-Uni qui sont impliqués dans les activités de CSIRT (centre d'alerte et de réaction aux attaques informatiques) de leur organisation. L'étude conclut par des recommandations clés pour les organisations qui cherchent à améliorer leur processus de réponse aux incidents. Voici les principales conclusions de l'étude :

-68% du panel explique que leur organisation a connu une violation de la sécurité ou un incident dans les 24 derniers mois. 46% dit qu'un autre incident est imminent et pourrait se produire dans les six prochains mois.

-88% du panel a indiqué ne pas communiquer pas régulièrement avec la direction générale sur les potentielles cyber-attaques potentielles contre leur organisation.

-50% des répondants n'ont pas adopté des mesures opérationnelles significatives pour mesurer l'efficacité globale de la réponse aux incidents.

-Alors que la plupart des organisations ont dit qu'elles pouvaient identifier un incident de sécurité dans un espace de quelques heures, il faut tout un mois, en moyenne, pour effectuer un processus d'enquête sur les incidents, le rétablissement du service et de la vérification.



- Le panel estime que moins de 10% de leurs budgets de sécurité sont utilisés pour les activités de réponse aux incidents, et la plupart disent que leurs budgets de réponse aux incidents n'ont pas augmenté au cours des 24 derniers mois.


- 80% des répondants affirment que l'analyse des pistes de vérification à partir de sources comme NetFlow et des paquets capture est l'approche la plus efficace pour détecter les incidents et violations de sécurité. Ce choix a été plus populaire que les systèmes de détection d'intrusion et un logiciel anti-virus.

«Notre recherche indique que les organisations ne communiquent pas avec les chefs d'entreprise sur les menaces de sécurité informatique», a conclu le rapport. «Que ce soit parce qu'ils ont peur d'admettre les réalités des personnes pour lesquelles ils travaillent, ou parce qu'ils ne savent pas comment articuler ces réalités en dollars et en cents termes qui sont pertinents pour les décideurs d'entreprise, les conséquences sont les mêmes».

Source : Document (au format PDF)

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

10 commentaires
Commenter Signaler un problème
Aiekick
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 23/01/2014 à 21:51
j'ai cru lire "la pokemon institute"
3  0 
berceker united
Avatar de berceker united
Expert éminent https://www.developpez.com
Le 23/01/2014 à 21:38
Normal.
Il y a paramètre à prendre en compte.

- Une entreprise ne veut pas investir sur une chose dont elle n'est pas confronté directement. Elle a tendance à attendre d'avoir un problème pour réagir.

- Le PDG n'est pas informé réellement de ce problème parce que ses subordonnés n'osent pas en parler de peur de se faire saquer. "Tout va bien nous avons une équipe qui maîtrise, nous sommes sur le sujet".
1  0 
imikado
Avatar de imikado
Rédacteur https://www.developpez.com
Le 23/01/2014 à 21:33
Beaucoup trop d'entreprise ne pense pas du tout à la sécurité.
Combien font auditer leurs sites web, même chose pour leur infrastructure.
0  0 
Avatar de
https://www.developpez.com
Le 23/01/2014 à 22:04
Citation Envoyé par Stéphane le calme Voir le message

-68% du panel explique que leur organisation a connu une violation de la sécurité ou un incident dans les 24 derniers mois. 46% dit qu'un autre incident est imminent et pourrait se produire dans les six prochains mois.
En 24 mois, il est fort probable d'avoir eu au moins une attaque de virus sur un poste de l'entreprise ou une tentative de connexion en root sur un serveur linux...

Citation Envoyé par imikado

Beaucoup trop d'entreprise ne pense pas du tout à la sécurité.
Combien font auditer leurs sites web, même chose pour leur infrastructure.
On peut tester soi-même son site web, c'est même conseiller entre deux audits.
0  0 
laerne
Avatar de laerne
Membre éprouvé https://www.developpez.com
Le 23/01/2014 à 22:11
Citation Envoyé par imikado Voir le message
Beaucoup trop d'entreprise ne pense pas du tout à la sécurité.
Combien font auditer leurs sites web, même chose pour leur infrastructure.
C'est vrai.
Mais j'ai aussi l'impression que trop de news parlent de sécurité. C'est comme toutes ces news sur la criminalité qui amène une vraie paranoïa et font que les gens veulent du sur-flicage. Finalement le point le plus faible de la sécurité de beaucoup de ces entreprises reste les secrétaires mal payées…
1  1 
imikado
Avatar de imikado
Rédacteur https://www.developpez.com
Le 24/01/2014 à 8:48
Citation Envoyé par valkirys Voir le message
On peut tester soi-même son site web, c'est même conseiller entre deux audits.
On peut aussi, mais auditer un site c'est un métier: on va peut être tester 2-3 failles xss, mais passer à coté de certaines failles xsrf/null byte...

Citation Envoyé par laerne Voir le message
C'est vrai.
Mais j'ai aussi l'impression que trop de news parlent de sécurité. C'est comme toutes ces news sur la criminalité qui amène une vraie paranoïa et font que les gens veulent du sur-flicage. Finalement le point le plus faible de la sécurité de beaucoup de ces entreprises reste les secrétaires mal payées…
Sauf qu'ici ce n'est pas de la paranoia mais un constat: beaucoup trop de sites ont des failles xss/xsrf qui peuvent soit s'avérer dangereuse pour le site, soit permettre d'utiliser une faille sur un autre site (xsrf)
0  0 
Saverok
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 24/01/2014 à 11:27
Comme le souligne l'article :

"ils ne savent pas comment articuler ces réalités en dollars et en cents termes qui sont pertinents pour les décideurs d'entreprise"
Le ROI de la sécurité est nul voir négatif
Les experts en sécurité sont des profils coûteux
Cripter, c'est facile mais ça implique du temps machine pour coder / décoder et de ce fait, investir dans des serveurs plus puissant
De même, mettre place les protocoles de sécurité prend du temps aux développeurs et ce temps n'est pas pris pour les sujets à fort ROI...

La sécurité en informatique, c'est comme les alarmes de voiture : tant qu'on ne s'est pas fait voler sa voiture, on n'en voit pas l'intérêt
0  0 
imikado
Avatar de imikado
Rédacteur https://www.developpez.com
Le 24/01/2014 à 11:42
Citation Envoyé par Saverok Voir le message
La sécurité en informatique, c'est comme les alarmes de voiture : tant qu'on ne s'est pas fait voler sa voiture, on n'en voit pas l'intérêt
C'est plus comme mettre une serrure "un peu complexe" à sa porte : on peut ne pas mettre de serrure ou une serrure très légère: tant que personne ne voudra rentrer on aura pas de problème, mais le jour où une personne s'interesse à votre appartement il va arriver a entrer plus ou moins facilement

Un exemple simple : une boutique e-commerce comme amazon, cdiscount and co doivent bien penser que la sécurité de leur site web est aussi importante que leur image: si du jour au lendemain, un pirate met n'importe quoi sur la page d'accueil ou pire: plus silencieux, redirige les formulaires de paiement vers son site en mode "phising"...

Pour information, un site liste des sites exposés à des failles xss: http://www.xssed.com/archive/special=1/
0  0 
Avatar de
https://www.developpez.com
Le 24/01/2014 à 12:18
Citation Envoyé par Saverok Voir le message
Le ROI de la sécurité est nul voir négatif
Les experts en sécurité sont des profils coûteux
Sûr de ça ?

Le problème de la sécurité des SI, c'est que trop souvent, c'est en mode réactif. Et le post qui a lancé ce fil le résume bien, notamment ces statistiques :

-88% du panel a indiqué ne pas communiquer pas régulièrement avec la direction générale sur les potentielles cyber-attaques potentielles contre leur organisation.

-50% des répondants n'ont pas adopté des mesures opérationnelles significatives pour mesurer l'efficacité globale de la réponse aux incidents.
Quand tu écris que les experts Sécu sont des profils coûteux, ça veut simplement dire que c'est maintenant devenu un métier à part entière, et que c'est la seule façon de traiter la sécu d'un point de vue proactif.

J'ai peut-être mal compris ce que tu as voulu dire par "ROI nul", mais quand une boîte est obligée de fermer ses portes pour violation de propriété intellectuelle ou vol de données informatiques dû à un manque de sécurité, on s'approche plus de l'infini que du zéro

Si un serveur critique d'une banque est immobilisé à cause d'une attaque DDOS, tu peux me croire, généralement on sait combien de millions d'euros peut coûter l'heure d'interruption de flux financiers. Et je te parle pas des réseaux "high frequency" utilisés par les traders de cette même banque...

Autre point évoqué dans cette enquête :
Que ce soit parce qu'ils ont peur d'admettre les réalités des personnes pour lesquelles ils travaillent
Les audits sécurité demandent beaucoup de tact et beaucoup de diplomatie... Parce que ça a tendance à mettre certaines personnes sous le spot. Perso, j'ai déjà vu le cas d'audits sécurité déclenchés uniquement pour "mettre le Q de certaines personnes dans une poële à frire"... Enfin, vous voyez ce que je veux dire

Encore une fois, vue la complexité grandissante des technos et la créativité sans limite des attaquants, la sécu, c'est un véritable métier...

Steph
0  0 
Emily Prevost
Avatar de Emily Prevost
Expert éminent https://www.developpez.com
Le 25/01/2014 à 0:59
Les entreprises actuellement n'ont pas une certaine maturité pour le domaine de la sécurité, personnellement je vois que le problème ne doit pas être affecté à une personne précise, mais il faut surtout comprendre que le problème principal qui se pose concerne la communication entre la DSI et la DG est donc on remarque que dans un premier lieu la DSI traite les informations avec le DG d'une façon trop technique ce qui ne sera pas forcément compréhensible à 100% pour le PDG. de l'entreprise, dans un deuxième cadre cette direction doit mettre en conscience bien sûr chaque employé de l'entreprise et surtout le PDG. d'une façon qui le poussera à comprendre que dans le cas d'une attaque ou d'une perte d'information==> voila la gravité et le dommage qui sera présent!
en matière de coût, image de l'entreprise...
Donc c'est un travail collaboratif et surtout s'il y a un RSSI, il doit mettre en place une politique de sécurité globale que chaque personne issue de l'entreprise doit appliquer avec une approbation du top management.
Sinon la gestion des incidents doit être faite en parallèle, parce que la sécurité ne doit pas être mesurée d'une façon mensuelle ou annuelle mais c'est une veille qui doit être prise en compte quotidiennement.
0  0 
Commenter Signaler un problème