La plupart des PDG sont dans l'ignorance des attaques informatiques essuyées par leurs sociétés
D'après une étude de la Ponemon Institute

Le , par Stéphane le calme, Chroniqueur Actualités
Les cyberattaques continuent de croître en nombre et en complexité. Pourtant, la grande majorité des responsables en entreprises semblent encore vraisemblablement ignorer la vulnérabilité de leurs réseaux et données.

A la demande de Lancope, l'institut de recherche Ponemon a mené une enquête auprès de 674 professionnels des TIC et de la sécurité aux États-Unis et au Royaume-Uni qui sont impliqués dans les activités de CSIRT (centre d'alerte et de réaction aux attaques informatiques) de leur organisation. L'étude conclut par des recommandations clés pour les organisations qui cherchent à améliorer leur processus de réponse aux incidents. Voici les principales conclusions de l'étude :

-68% du panel explique que leur organisation a connu une violation de la sécurité ou un incident dans les 24 derniers mois. 46% dit qu'un autre incident est imminent et pourrait se produire dans les six prochains mois.

-88% du panel a indiqué ne pas communiquer pas régulièrement avec la direction générale sur les potentielles cyber-attaques potentielles contre leur organisation.

-50% des répondants n'ont pas adopté des mesures opérationnelles significatives pour mesurer l'efficacité globale de la réponse aux incidents.

-Alors que la plupart des organisations ont dit qu'elles pouvaient identifier un incident de sécurité dans un espace de quelques heures, il faut tout un mois, en moyenne, pour effectuer un processus d'enquête sur les incidents, le rétablissement du service et de la vérification.



- Le panel estime que moins de 10% de leurs budgets de sécurité sont utilisés pour les activités de réponse aux incidents, et la plupart disent que leurs budgets de réponse aux incidents n'ont pas augmenté au cours des 24 derniers mois.


- 80% des répondants affirment que l'analyse des pistes de vérification à partir de sources comme NetFlow et des paquets capture est l'approche la plus efficace pour détecter les incidents et violations de sécurité. Ce choix a été plus populaire que les systèmes de détection d'intrusion et un logiciel anti-virus.

«Notre recherche indique que les organisations ne communiquent pas avec les chefs d'entreprise sur les menaces de sécurité informatique», a conclu le rapport. «Que ce soit parce qu'ils ont peur d'admettre les réalités des personnes pour lesquelles ils travaillent, ou parce qu'ils ne savent pas comment articuler ces réalités en dollars et en cents termes qui sont pertinents pour les décideurs d'entreprise, les conséquences sont les mêmes».

Source : Document (au format PDF)

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de imikado imikado - Rédacteur https://www.developpez.com
le 23/01/2014 à 21:33
Beaucoup trop d'entreprise ne pense pas du tout à la sécurité.
Combien font auditer leurs sites web, même chose pour leur infrastructure.
Avatar de berceker united berceker united - Expert confirmé https://www.developpez.com
le 23/01/2014 à 21:38
Normal.
Il y a paramètre à prendre en compte.

- Une entreprise ne veut pas investir sur une chose dont elle n'est pas confronté directement. Elle a tendance à attendre d'avoir un problème pour réagir.

- Le PDG n'est pas informé réellement de ce problème parce que ses subordonnés n'osent pas en parler de peur de se faire saquer. "Tout va bien nous avons une équipe qui maîtrise, nous sommes sur le sujet".
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 23/01/2014 à 21:51
j'ai cru lire "la pokemon institute"
Avatar de valkirys valkirys - Membre expérimenté https://www.developpez.com
le 23/01/2014 à 22:04
Citation Envoyé par Stéphane le calme  Voir le message
-68% du panel explique que leur organisation a connu une violation de la sécurité ou un incident dans les 24 derniers mois. 46% dit qu'un autre incident est imminent et pourrait se produire dans les six prochains mois.

En 24 mois, il est fort probable d'avoir eu au moins une attaque de virus sur un poste de l'entreprise ou une tentative de connexion en root sur un serveur linux...

Citation Envoyé par imikado
Beaucoup trop d'entreprise ne pense pas du tout à la sécurité.
Combien font auditer leurs sites web, même chose pour leur infrastructure.

On peut tester soi-même son site web, c'est même conseiller entre deux audits.
Avatar de laerne laerne - Membre éclairé https://www.developpez.com
le 23/01/2014 à 22:11
Citation Envoyé par imikado  Voir le message
Beaucoup trop d'entreprise ne pense pas du tout à la sécurité.
Combien font auditer leurs sites web, même chose pour leur infrastructure.

C'est vrai.
Mais j'ai aussi l'impression que trop de news parlent de sécurité. C'est comme toutes ces news sur la criminalité qui amène une vraie paranoïa et font que les gens veulent du sur-flicage. Finalement le point le plus faible de la sécurité de beaucoup de ces entreprises reste les secrétaires mal payées…
Avatar de imikado imikado - Rédacteur https://www.developpez.com
le 24/01/2014 à 8:48
Citation Envoyé par valkirys  Voir le message
On peut tester soi-même son site web, c'est même conseiller entre deux audits.

On peut aussi, mais auditer un site c'est un métier: on va peut être tester 2-3 failles xss, mais passer à coté de certaines failles xsrf/null byte...

Citation Envoyé par laerne  Voir le message
C'est vrai.
Mais j'ai aussi l'impression que trop de news parlent de sécurité. C'est comme toutes ces news sur la criminalité qui amène une vraie paranoïa et font que les gens veulent du sur-flicage. Finalement le point le plus faible de la sécurité de beaucoup de ces entreprises reste les secrétaires mal payées…

Sauf qu'ici ce n'est pas de la paranoia mais un constat: beaucoup trop de sites ont des failles xss/xsrf qui peuvent soit s'avérer dangereuse pour le site, soit permettre d'utiliser une faille sur un autre site (xsrf)
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 24/01/2014 à 11:27
Comme le souligne l'article :
"ils ne savent pas comment articuler ces réalités en dollars et en cents termes qui sont pertinents pour les décideurs d'entreprise"

Le ROI de la sécurité est nul voir négatif
Les experts en sécurité sont des profils coûteux
Cripter, c'est facile mais ça implique du temps machine pour coder / décoder et de ce fait, investir dans des serveurs plus puissant
De même, mettre place les protocoles de sécurité prend du temps aux développeurs et ce temps n'est pas pris pour les sujets à fort ROI...

La sécurité en informatique, c'est comme les alarmes de voiture : tant qu'on ne s'est pas fait voler sa voiture, on n'en voit pas l'intérêt
Avatar de imikado imikado - Rédacteur https://www.developpez.com
le 24/01/2014 à 11:42
Citation Envoyé par Saverok  Voir le message
La sécurité en informatique, c'est comme les alarmes de voiture : tant qu'on ne s'est pas fait voler sa voiture, on n'en voit pas l'intérêt

C'est plus comme mettre une serrure "un peu complexe" à sa porte : on peut ne pas mettre de serrure ou une serrure très légère: tant que personne ne voudra rentrer on aura pas de problème, mais le jour où une personne s'interesse à votre appartement il va arriver a entrer plus ou moins facilement

Un exemple simple : une boutique e-commerce comme amazon, cdiscount and co doivent bien penser que la sécurité de leur site web est aussi importante que leur image: si du jour au lendemain, un pirate met n'importe quoi sur la page d'accueil ou pire: plus silencieux, redirige les formulaires de paiement vers son site en mode "phising"...

Pour information, un site liste des sites exposés à des failles xss: http://www.xssed.com/archive/special=1/
Avatar de - https://www.developpez.com
le 24/01/2014 à 12:18
Citation Envoyé par Saverok  Voir le message
Le ROI de la sécurité est nul voir négatif
Les experts en sécurité sont des profils coûteux

Sûr de ça ?

Le problème de la sécurité des SI, c'est que trop souvent, c'est en mode réactif. Et le post qui a lancé ce fil le résume bien, notamment ces statistiques :

-88% du panel a indiqué ne pas communiquer pas régulièrement avec la direction générale sur les potentielles cyber-attaques potentielles contre leur organisation.

-50% des répondants n'ont pas adopté des mesures opérationnelles significatives pour mesurer l'efficacité globale de la réponse aux incidents.

Quand tu écris que les experts Sécu sont des profils coûteux, ça veut simplement dire que c'est maintenant devenu un métier à part entière, et que c'est la seule façon de traiter la sécu d'un point de vue proactif.

J'ai peut-être mal compris ce que tu as voulu dire par "ROI nul", mais quand une boîte est obligée de fermer ses portes pour violation de propriété intellectuelle ou vol de données informatiques dû à un manque de sécurité, on s'approche plus de l'infini que du zéro

Si un serveur critique d'une banque est immobilisé à cause d'une attaque DDOS, tu peux me croire, généralement on sait combien de millions d'euros peut coûter l'heure d'interruption de flux financiers. Et je te parle pas des réseaux "high frequency" utilisés par les traders de cette même banque...

Autre point évoqué dans cette enquête :
Que ce soit parce qu'ils ont peur d'admettre les réalités des personnes pour lesquelles ils travaillent

Les audits sécurité demandent beaucoup de tact et beaucoup de diplomatie... Parce que ça a tendance à mettre certaines personnes sous le spot. Perso, j'ai déjà vu le cas d'audits sécurité déclenchés uniquement pour "mettre le Q de certaines personnes dans une poële à frire"... Enfin, vous voyez ce que je veux dire

Encore une fois, vue la complexité grandissante des technos et la créativité sans limite des attaquants, la sécu, c'est un véritable métier...

Steph
Avatar de Emily Prevost Emily Prevost - Expert éminent https://www.developpez.com
le 25/01/2014 à 0:59
Les entreprises actuellement n'ont pas une certaine maturité pour le domaine de la sécurité, personnellement je vois que le problème ne doit pas être affecté à une personne précise, mais il faut surtout comprendre que le problème principal qui se pose concerne la communication entre la DSI et la DG est donc on remarque que dans un premier lieu la DSI traite les informations avec le DG d'une façon trop technique ce qui ne sera pas forcément compréhensible à 100% pour le PDG. de l'entreprise, dans un deuxième cadre cette direction doit mettre en conscience bien sûr chaque employé de l'entreprise et surtout le PDG. d'une façon qui le poussera à comprendre que dans le cas d'une attaque ou d'une perte d'information==> voila la gravité et le dommage qui sera présent!
en matière de coût, image de l'entreprise...
Donc c'est un travail collaboratif et surtout s'il y a un RSSI, il doit mettre en place une politique de sécurité globale que chaque personne issue de l'entreprise doit appliquer avec une approbation du top management.
Sinon la gestion des incidents doit être faite en parallèle, parce que la sécurité ne doit pas être mesurée d'une façon mensuelle ou annuelle mais c'est une veille qui doit être prise en compte quotidiennement.
Offres d'emploi IT
Développeur(se) iOS confirmé(e)
utopiaweb - Bretagne - Rennes
Développeur sénior symfony H/F
Mobiskill - Ile de France - Paris (75000)
Ingénieur étude et développement java jee (H/F)
Worldline - Centre - France

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil