NTT Security a étudié l’attitude de 2 256 décideurs non informaticiens, dont 101 au Benelux, à l’égard des risques et de la valeur de la sécurité informatique pour l’entreprise.
Principaux risques inhérents à la sécurité informatique
La cybersécurité et le vol de données figurent parmi les cinq principaux risques commerciaux. Les résultats montrent que les organisations sont conscientes des risques de cybermenaces. Seul le risque d’une crise économique ou financière inquiète davantage les organisations que le risque de cyberattaques contre l’entreprise. La majorité des personnes interrogées, 77% dans le Benelux, pensent qu’une bonne cybersécurité aidera leur entreprise et 80 pour cent estiment que la cybersécurité joue un rôle majeur dans la société.
Bonnes et mauvaises applications
Pour chaque organisation étudiée, NTT Security a analysé les réactions aux bonnes et mauvaises applications dans le domaine de la cybersécurité. Les résultats montrent un manque de progrès inquiétant : en 2019, comme en 2018, le score moyen n’était que de +3. Au Benelux, la Belgique (+ 1) et les Pays-Bas (zéro) se situent en dessous de la moyenne mondiale.
Les entreprises situées en Inde, un pays qui n’a pas encore fait l’objet de recherches, sont les plus performantes en matière de cybersécurité, meilleures que celles des États-Unis et du Royaume-Uni. La performance des organisations en France, en Allemagne et à Singapour s’est détériorée au cours de l’année écoulée, de même que celle des entreprises des secteurs :
- des services financiers,
- des télécommunications,
- de la chimie,
- de la pharmacie,
- du pétrole et du gaz,
- de la santé.
Cela soulève des doutes quant à la robustesse des infrastructures nationales essentielles.
Cybersécurité et RGPD
Moins de la moitié des répondants du Benelux, 45 pour cent, soit exactement le même pourcentage qu’en 2018, considèrent que toutes leurs données critiques sont totalement sécurisées.
Plus d’un tiers d’entre eux indiquent qu’ils préfèrent payer une rançon à un pirate plutôt qu’une amende pour non-respect des règles de protection des données. La même partie préfère payer un hacker plutôt que d’investir dans la sécurité. Ce sont les mêmes résultats qu’en 2018, ce qui illustre l’absence de progrès.
Alors que 81 pour cent disent se soucier de la conformité, 10 pour cent ne savent pas à quelles règles l’entreprise doit se conformer.
Seulement 24 pour cent pensent que le règlement général sur la protection des données (RGPD), un an après la date limite de mise en conformité, s’applique à eux.
Budgets cybersécurité
Les budgets de sécurité ne sont pas suffisants pour faire face à la menace croissante des cyberattaques. Il n’y a eu qu’une faible augmentation du pourcentage des budgets de IT réservés à la sécurité (quatorze pour cent). Le pourcentage du budget opérationnel consacré à la sécurité a chuté à quinze pour cent depuis 2018.
Les organisations du Benelux ne parviennent pas à agir de manière proactive en ce qui concerne l’exécution des politiques et les processus internes. La moitié (50 %) ont une politique officielle de sécurité de l’information et seulement 43 % ont un plan d’intervention en cas d’incident, soit une augmentation de 1 % par rapport à 2018.
Quarante pour cent considèrent la cybersécurité comme un » problème pour le service informatique, et non pour l’ensemble de l’organisation « .
Le pourcentage d’entreprises qui manquent encore de compétences/ressources augmente : 48 pour cent contre 44 pour cent en 2018. Cela montre que les entreprises du Benelux ont besoin de plus d’aide de la part d’entreprises de sécurité externes.
Coûts et temps pour réparer une brèche de sécurité
Le rapport 2019 montre également que les répondants du Benelux, contrairement à la moyenne mondiale, estiment que le temps consacré à la réparation d’une atteinte à la protection des données diminue par rapport à l’année dernière : 57 jours (-six jours) pour le Benelux et 66 jours (+neuf jours) dans le monde. Cependant, la perte de revenus estimée a augmenté : 12,7 % en 2019, contre 10,3 % en 2018 et 9,9 % en 2017.
Le coût de réparation d’une atteinte à la protection des données reste élevé, avec une moyenne de près de 900 000 euros pour les entreprises du Benelux et un million d’euros au niveau mondial. Dans les pays scandinaves en particulier, les coûts devraient être beaucoup plus élevés, avec 1,6 million d’euros pour la Norvège et la Suède en tête avec 2,7 millions d’euros, soit plus du double de la moyenne mondiale. Le pétrole et le gaz occupent la première place dans le secteur industriel avec 2,0 millions d’euros qui devraient être consacrés aux travaux de réparation.
Risque : Valeur
Le rapport Risque/Valeur montre que les entreprises sont au point mort sur la voie de la cybersécurité. Le monde qui les entoure est en train de changer, avec l’intégration de nouvelles technologies et de projets de transformation numérique qui changent notre façon de faire des affaires.
Les cybercriminels profitent de ce statu quo, de sorte que les fuites de données continuent de faire les manchettes. Il est clair que les décideurs politiques considèrent la sécurité comme un facteur habilitant, quelque chose qui peut aider l’entreprise et la société dans son ensemble.
Cependant, bien que la prise de conscience des risques soit élevée, les organisations n’ont toujours pas la capacité, ou peut-être la volonté, de les gérer efficacement. Nous constatons de faibles taux de réponse dans des domaines tels que les politiques de sécurité interne et les plans d’intervention en cas d’incident, ainsi qu’un manque de connaissance des réglementations affectant les entreprises – le tout soutenu par l’attente que lorsque quelque chose tourne mal, c’est la faute du service informatique. La conception et la mise en œuvre de stratégies de cybersécurité doivent être améliorées, sinon le risque commercial augmentera.
Comments are closed.