Developpez.com

Le Club des Développeurs et IT Pro

La plupart des PDG sont dans l'ignorance des attaques informatiques essuyées par leurs sociétés

D'après une étude de la Ponemon Institute

Le 2014-01-23 20:54:11, par Stéphane le calme, Chroniqueur Actualités
Les cyberattaques continuent de croître en nombre et en complexité. Pourtant, la grande majorité des responsables en entreprises semblent encore vraisemblablement ignorer la vulnérabilité de leurs réseaux et données.

A la demande de Lancope, l'institut de recherche Ponemon a mené une enquête auprès de 674 professionnels des TIC et de la sécurité aux États-Unis et au Royaume-Uni qui sont impliqués dans les activités de CSIRT (centre d'alerte et de réaction aux attaques informatiques) de leur organisation. L'étude conclut par des recommandations clés pour les organisations qui cherchent à améliorer leur processus de réponse aux incidents. Voici les principales conclusions de l'étude :

-68% du panel explique que leur organisation a connu une violation de la sécurité ou un incident dans les 24 derniers mois. 46% dit qu'un autre incident est imminent et pourrait se produire dans les six prochains mois.

-88% du panel a indiqué ne pas communiquer pas régulièrement avec la direction générale sur les potentielles cyber-attaques potentielles contre leur organisation.

-50% des répondants n'ont pas adopté des mesures opérationnelles significatives pour mesurer l'efficacité globale de la réponse aux incidents.

-Alors que la plupart des organisations ont dit qu'elles pouvaient identifier un incident de sécurité dans un espace de quelques heures, il faut tout un mois, en moyenne, pour effectuer un processus d'enquête sur les incidents, le rétablissement du service et de la vérification.



- Le panel estime que moins de 10% de leurs budgets de sécurité sont utilisés pour les activités de réponse aux incidents, et la plupart disent que leurs budgets de réponse aux incidents n'ont pas augmenté au cours des 24 derniers mois.


- 80% des répondants affirment que l'analyse des pistes de vérification à partir de sources comme NetFlow et des paquets capture est l'approche la plus efficace pour détecter les incidents et violations de sécurité. Ce choix a été plus populaire que les systèmes de détection d'intrusion et un logiciel anti-virus.

«Notre recherche indique que les organisations ne communiquent pas avec les chefs d'entreprise sur les menaces de sécurité informatique», a conclu le rapport. «Que ce soit parce qu'ils ont peur d'admettre les réalités des personnes pour lesquelles ils travaillent, ou parce qu'ils ne savent pas comment articuler ces réalités en dollars et en cents termes qui sont pertinents pour les décideurs d'entreprise, les conséquences sont les mêmes».

Source : Document (au format PDF)

Et vous ?

Qu'en pensez-vous ?
  Discussion forum
10 commentaires
  • Aiekick
    Membre extrêmement actif
    j'ai cru lire "la pokemon institute"
    le 23/01/2014 à 21:51
  • berceker united
    Expert éminent
    Normal.
    Il y a paramètre à prendre en compte.

    - Une entreprise ne veut pas investir sur une chose dont elle n'est pas confronté directement. Elle a tendance à attendre d'avoir un problème pour réagir.

    - Le PDG n'est pas informé réellement de ce problème parce que ses subordonnés n'osent pas en parler de peur de se faire saquer. "Tout va bien nous avons une équipe qui maîtrise, nous sommes sur le sujet".
    le 23/01/2014 à 21:38
  • imikado
    Rédacteur
    Beaucoup trop d'entreprise ne pense pas du tout à la sécurité.
    Combien font auditer leurs sites web, même chose pour leur infrastructure.
    le 23/01/2014 à 21:33
  • Envoyé par Stéphane le calme

    -68% du panel explique que leur organisation a connu une violation de la sécurité ou un incident dans les 24 derniers mois. 46% dit qu'un autre incident est imminent et pourrait se produire dans les six prochains mois.
    En 24 mois, il est fort probable d'avoir eu au moins une attaque de virus sur un poste de l'entreprise ou une tentative de connexion en root sur un serveur linux...

    Envoyé par imikado

    Beaucoup trop d'entreprise ne pense pas du tout à la sécurité.
    Combien font auditer leurs sites web, même chose pour leur infrastructure.
    On peut tester soi-même son site web, c'est même conseiller entre deux audits.
    le 23/01/2014 à 22:04
  • laerne
    Membre éprouvé
    Envoyé par imikado
    Beaucoup trop d'entreprise ne pense pas du tout à la sécurité.
    Combien font auditer leurs sites web, même chose pour leur infrastructure.
    C'est vrai.
    Mais j'ai aussi l'impression que trop de news parlent de sécurité. C'est comme toutes ces news sur la criminalité qui amène une vraie paranoïa et font que les gens veulent du sur-flicage. Finalement le point le plus faible de la sécurité de beaucoup de ces entreprises reste les secrétaires mal payées…
    le 23/01/2014 à 22:11
  • imikado
    Rédacteur
    Envoyé par valkirys
    On peut tester soi-même son site web, c'est même conseiller entre deux audits.
    On peut aussi, mais auditer un site c'est un métier: on va peut être tester 2-3 failles xss, mais passer à coté de certaines failles xsrf/null byte...

    Envoyé par laerne
    C'est vrai.
    Mais j'ai aussi l'impression que trop de news parlent de sécurité. C'est comme toutes ces news sur la criminalité qui amène une vraie paranoïa et font que les gens veulent du sur-flicage. Finalement le point le plus faible de la sécurité de beaucoup de ces entreprises reste les secrétaires mal payées…
    Sauf qu'ici ce n'est pas de la paranoia mais un constat: beaucoup trop de sites ont des failles xss/xsrf qui peuvent soit s'avérer dangereuse pour le site, soit permettre d'utiliser une faille sur un autre site (xsrf)
    le 24/01/2014 à 8:48
  • Saverok
    Expert éminent
    Comme le souligne l'article :

    "ils ne savent pas comment articuler ces réalités en dollars et en cents termes qui sont pertinents pour les décideurs d'entreprise"
    Le ROI de la sécurité est nul voir négatif
    Les experts en sécurité sont des profils coûteux
    Cripter, c'est facile mais ça implique du temps machine pour coder / décoder et de ce fait, investir dans des serveurs plus puissant
    De même, mettre place les protocoles de sécurité prend du temps aux développeurs et ce temps n'est pas pris pour les sujets à fort ROI...

    La sécurité en informatique, c'est comme les alarmes de voiture : tant qu'on ne s'est pas fait voler sa voiture, on n'en voit pas l'intérêt
    le 24/01/2014 à 11:27
  • imikado
    Rédacteur
    Envoyé par Saverok
    La sécurité en informatique, c'est comme les alarmes de voiture : tant qu'on ne s'est pas fait voler sa voiture, on n'en voit pas l'intérêt
    C'est plus comme mettre une serrure "un peu complexe" à sa porte : on peut ne pas mettre de serrure ou une serrure très légère: tant que personne ne voudra rentrer on aura pas de problème, mais le jour où une personne s'interesse à votre appartement il va arriver a entrer plus ou moins facilement

    Un exemple simple : une boutique e-commerce comme amazon, cdiscount and co doivent bien penser que la sécurité de leur site web est aussi importante que leur image: si du jour au lendemain, un pirate met n'importe quoi sur la page d'accueil ou pire: plus silencieux, redirige les formulaires de paiement vers son site en mode "phising"...

    Pour information, un site liste des sites exposés à des failles xss: http://www.xssed.com/archive/special=1/
    le 24/01/2014 à 11:42
  • Envoyé par Saverok
    Le ROI de la sécurité est nul voir négatif
    Les experts en sécurité sont des profils coûteux
    Sûr de ça ?

    Le problème de la sécurité des SI, c'est que trop souvent, c'est en mode réactif. Et le post qui a lancé ce fil le résume bien, notamment ces statistiques :

    -88% du panel a indiqué ne pas communiquer pas régulièrement avec la direction générale sur les potentielles cyber-attaques potentielles contre leur organisation.

    -50% des répondants n'ont pas adopté des mesures opérationnelles significatives pour mesurer l'efficacité globale de la réponse aux incidents.
    Quand tu écris que les experts Sécu sont des profils coûteux, ça veut simplement dire que c'est maintenant devenu un métier à part entière, et que c'est la seule façon de traiter la sécu d'un point de vue proactif.

    J'ai peut-être mal compris ce que tu as voulu dire par "ROI nul", mais quand une boîte est obligée de fermer ses portes pour violation de propriété intellectuelle ou vol de données informatiques dû à un manque de sécurité, on s'approche plus de l'infini que du zéro

    Si un serveur critique d'une banque est immobilisé à cause d'une attaque DDOS, tu peux me croire, généralement on sait combien de millions d'euros peut coûter l'heure d'interruption de flux financiers. Et je te parle pas des réseaux "high frequency" utilisés par les traders de cette même banque...

    Autre point évoqué dans cette enquête :
    Que ce soit parce qu'ils ont peur d'admettre les réalités des personnes pour lesquelles ils travaillent
    Les audits sécurité demandent beaucoup de tact et beaucoup de diplomatie... Parce que ça a tendance à mettre certaines personnes sous le spot. Perso, j'ai déjà vu le cas d'audits sécurité déclenchés uniquement pour "mettre le Q de certaines personnes dans une poële à frire"... Enfin, vous voyez ce que je veux dire

    Encore une fois, vue la complexité grandissante des technos et la créativité sans limite des attaquants, la sécu, c'est un véritable métier...

    Steph
    le 24/01/2014 à 12:18
  • Emily Prevost
    Expert éminent
    Les entreprises actuellement n'ont pas une certaine maturité pour le domaine de la sécurité, personnellement je vois que le problème ne doit pas être affecté à une personne précise, mais il faut surtout comprendre que le problème principal qui se pose concerne la communication entre la DSI et la DG est donc on remarque que dans un premier lieu la DSI traite les informations avec le DG d'une façon trop technique ce qui ne sera pas forcément compréhensible à 100% pour le PDG. de l'entreprise, dans un deuxième cadre cette direction doit mettre en conscience bien sûr chaque employé de l'entreprise et surtout le PDG. d'une façon qui le poussera à comprendre que dans le cas d'une attaque ou d'une perte d'information==> voila la gravité et le dommage qui sera présent!
    en matière de coût, image de l'entreprise...
    Donc c'est un travail collaboratif et surtout s'il y a un RSSI, il doit mettre en place une politique de sécurité globale que chaque personne issue de l'entreprise doit appliquer avec une approbation du top management.
    Sinon la gestion des incidents doit être faite en parallèle, parce que la sécurité ne doit pas être mesurée d'une façon mensuelle ou annuelle mais c'est une veille qui doit être prise en compte quotidiennement.
    le 25/01/2014 à 0:59
  Poster une réponse