Les progrès en matière de cybersécurité stagnent parmi les entreprises britanniques. Voici comment y remédier.

Les progrès en matière de cybersécurité stagnent parmi les entreprises britanniques : voici comment y remédier

Chaque jour, nous entendons parler des dégâts et des destructions causés par les cyberattaques. Ce mois-ci, la recherche révélée La moitié des entreprises britanniques ont été contraintes d'interrompre ou de perturber leurs projets de transformation numérique en raison de menaces étatiques. Dans un monde idéal, des histoires comme celle-ci seraient relayées jusqu'aux dirigeants, qui redoubleraient d'efforts pour améliorer leur cybersécurité. Pourtant, les dernières conclusions du gouvernement révèlent une tout autre réalité.

Malheureusement, les progrès ont stagné sur plusieurs fronts, selon les dernières données. Enquête sur les failles de cybersécurité. L’un des rares points positifs à retenir du rapport annuel est la sensibilisation croissante à la norme ISO 27001.

Les grandes entreprises dans le collimateur

Publiée depuis 2016, l'étude du gouvernement s'appuie sur une enquête menée auprès de 2,180 50 entreprises britanniques. Mais il existe une différence considérable entre une micro-entreprise de neuf salariés maximum et une entreprise de taille moyenne (249 à 250 salariés) ou grande (plus de XNUMX salariés).

C'est pourquoi il ne faut pas trop interpréter ce chiffre : la part des entreprises ayant signalé une cyberattaque ou une violation de données au cours de l'année écoulée a diminué chaque année (de 50 % à 43 %). Même le gouvernement admet que cette baisse est probablement due au fait que moins de micro et petites entreprises identifient les attaques de phishing. Il se peut simplement qu'elles deviennent plus difficiles à repérer, en raison de l'utilisation malveillante de l'IA générative (GenAI).

En réalité, la proportion d'entreprises de taille moyenne (67 %) et de grande taille (74 %) signalant des incidents de sécurité reste élevée. De plus, les grandes entreprises (29 %) et les moyennes entreprises (20 %) sont plus susceptibles que l'ensemble des entreprises (16 %) de subir des conséquences négatives. Ces conséquences peuvent aller de la perte d'accès aux fichiers et aux services tiers à la corruption des systèmes, en passant par le ralentissement des applications et le vol de données personnelles et de fonds. De plus, les grandes entreprises sont plus susceptibles de signaler des perturbations de leurs activités telles que :

  • Nécessitant du temps supplémentaire de la part du personnel pour gérer les violations/attaques (32 % contre 17 % au total)
  • Mettre en place de nouvelles mesures de sécurité (26 % contre 18 %)
  • Interruption du travail quotidien des employés (19 % contre 9 %)
  • Perturbation de la livraison des services/biens (8 % contre 3 %)
  • Réception des plaintes des clients (6 % contre 2 %)

En outre, alors que 20 % des entreprises dans leur ensemble auraient été victimes d’au moins un cybercrime au cours des 12 derniers mois, ce chiffre s’élève à 43 % des moyennes entreprises et à 52 % des grandes entreprises.

Le bien et le mal

La bonne nouvelle est que la plupart des moyennes et grandes entreprises ont pris des mesures clés dans chacune des meilleures pratiques du NCSC 10-étape Guide pour améliorer la posture de cybersécurité. Le pourcentage d'entreprises ayant pris des mesures dans cinq domaines ou plus a légèrement augmenté au cours de l'année écoulée, passant de 80 % à 82 % pour les moyennes entreprises et de 91 % à 95 % pour les grandes entreprises. De plus, environ 95 à 100 % de ces organisations ont mis en place au moins trois règles ou contrôles techniques de bonnes pratiques, tels qu'une protection à jour contre les logiciels malveillants, des pare-feu réseau, des droits d'accès et d'administration informatique restreints, la sécurité des appareils et des VPN.

Mais cela cache une situation plus vaste, sans doute plus inquiétante. Par exemple :

Programmes de formation du personnel étaient en place dans 54 % des moyennes entreprises et 76 % des grandes entreprises, soit des statistiques similaires à celles de l'année dernière.

Examens des risques des fournisseurs tiers Ces enquêtes n’ont été menées que par 32 % des moyennes entreprises et 45 % des grandes entreprises, contre 28 % et 48 % l’année dernière.

Plans de réponse aux incidents étaient en place dans seulement 53 % des entreprises de taille moyenne et 75 % des grandes entreprises (contre 55 % et 73 %).

Il semble également y avoir un manque d'orientation stratégique et de responsabilisation de la part de la direction. Seulement 70 % des grandes entreprises (contre 66 %) et 57 % des entreprises de taille moyenne (contre 58 %) disposent d'une stratégie de cybersécurité. Dans trop de grandes entreprises, la cybersécurité est gérée par le directeur informatique (19 %) ou par un responsable, un technicien ou un administrateur informatique (20 %).

« Les entreprises devraient toujours réagir de manière proportionnée à leurs risques ; un boulanger indépendant dans un petit village n'a probablement pas besoin de procéder à des tests d'intrusion réguliers, par exemple. Cependant, elles devraient s'efforcer de comprendre leurs risques, et le fait que 30 % des grandes entreprises ne soient pas proactives et ne prennent au moins aucune connaissance de leurs risques est accablant », affirme Tom Kidwell, cofondateur d'Ecliptic Dynamics.

Les entreprises peuvent néanmoins prendre des mesures pour atténuer l'impact des violations et stopper les attaques dès leur apparition. La première consiste à comprendre les risques et à prendre les mesures appropriées.

Pourtant, seulement la moitié (51 %) des conseils d'administration des entreprises de taille moyenne ont un responsable de la cybersécurité, contre 66 % pour les grandes entreprises. Ces chiffres sont restés pratiquement inchangés depuis trois ans. Et seulement 39 % des dirigeants des entreprises de taille moyenne reçoivent des mises à jour mensuelles sur la cybersécurité, contre 55 % pour les grandes entreprises. Compte tenu de la rapidité et du dynamisme du paysage actuel des menaces, ce chiffre est trop faible.

Où allons-nous à partir d'ici?

Une façon évidente d'améliorer la maturité en matière de cybersécurité serait de se conformer aux normes de bonnes pratiques comme la norme ISO 27001. À cet égard, le rapport émet des signaux contradictoires. D'un côté, il indique ceci :

« Il semble y avoir une prise de conscience croissante des accréditations telles que Cyber ​​Essentials et ISO 27001 et, dans l’ensemble, elles sont perçues positivement. »

La pression des clients et des membres du conseil d’administration ainsi que la « tranquillité d’esprit des parties prenantes » seraient à l’origine de la demande pour de telles approches, tandis que les personnes interrogées jugent à juste titre la norme ISO 27001 comme étant « plus robuste » que Cyber ​​Essentials.

Cependant, la connaissance des 10 étapes et des principes essentiels de la cybersécurité est en baisse. De plus, les grandes entreprises sont beaucoup moins nombreuses à solliciter des conseils externes en matière de cybersécurité que l'année dernière (51 % contre 67 %).

Ed Russell, responsable commercial CISO de Google Cloud chez Qodea, affirme que l’instabilité économique pourrait être un facteur.

« En période d’incertitude, les services externes sont souvent les premiers à être confrontés à des coupes budgétaires – même si réduire les dépenses consacrées aux conseils en matière de cybersécurité est une décision risquée », explique-t-il à ISMS.online.

Russell soutient que des normes comme ISO 27001 améliorent considérablement la maturité cybernétique, réduisent les risques cybernétiques et améliorent la conformité réglementaire.

« Ces normes aident les organisations à établir des bases de sécurité solides pour gérer les risques et à déployer des contrôles appropriés pour améliorer la protection de leurs précieux actifs d’information », ajoute-t-il.

La norme ISO 27001 vise à favoriser l'amélioration continue et à aider les organisations à renforcer leur posture et leur résilience globales en matière de cybersécurité face à l'évolution des menaces et des réglementations. Elle permet non seulement de protéger les informations les plus critiques, mais aussi de renforcer la confiance des parties prenantes, offrant ainsi un avantage concurrentiel.

Etay Maor, responsable de la stratégie de sécurité chez Cato Networks, est du même avis, mais prévient que la conformité n'est pas nécessairement synonyme de sécurité.

« Ces directives stratégiques devraient s'inscrire dans une pratique de sécurité globale incluant des cadres opérationnels et tactiques plus larges, une évaluation constante pour comparer les menaces et attaques actuelles, des exercices de réponse aux failles de sécurité, etc. », explique-t-il à ISMS.online. « C'est un bon point de départ, mais les organisations doivent aller plus loin. »

Auteur

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Afficher tous les articles de Phil Muncaster

Articles Similaires

SOC 2 est arrivé ! Renforcez votre sécurité et renforcez la confiance de vos clients grâce à notre puissante solution de conformité dès aujourd'hui !