Voici tout ce qui ne va pas avec la cybersécurité au Royaume-Uni aujourd'hui

Pour un aperçu annuel utile de la situation de sécurité des entreprises britanniques, ne cherchez pas plus loin que le rapport du gouvernement. Enquête sur les failles de cybersécurité. Il fournit un aperçu relativement détaillé de ce qui fonctionne et, plus généralement, de ce qui ne fonctionne pas. Dans l’ensemble, les trois quarts des entreprises (93 % des moyennes entreprises et 98 % des grandes entreprises) déclarent que leur conseil d’administration considère la cybersécurité comme une « haute priorité ». Mais dire, ce n’est pas faire.

Il existe une marge d'amélioration évidente dans plusieurs domaines, notamment la réponse aux incidents, la sécurité de la chaîne d'approvisionnement, la responsabilité du conseil d'administration et la gestion des risques. Le plus préoccupant est peut-être le manque de sensibilisation aux cadres et initiatives de sécurité dirigés par le gouvernement. Parallèlement aux normes de bonnes pratiques telles que la norme ISO 27001, celles-ci pourraient grandement contribuer à améliorer la cyber-résilience des PLC britanniques.

Marge d'amélioration

La principale statistique est que la moitié (50 %) des entreprises interrogées déclarent avoir subi une forme de faille de sécurité ou d'attaque au cours des 12 derniers mois, soit 70 % des moyennes entreprises (et 74 % des grandes entreprises). C'est une augmentation considérable par rapport aux chiffres respectifs de 32 %, 59 % et 69 % de l'année dernière, mais cela ne signifie pas nécessairement davantage de violations : il se pourrait que davantage de violations soient détectées. En fait, le rapport commence par quelques bonnes nouvelles.

Selon l’étude, élaborée à partir d’une enquête menée auprès de 2,000 44 entreprises britanniques et d’entretiens de suivi auprès de XNUMX d’entre elles, la cyber-hygiène s’améliore. Le rapport met en évidence une augmentation annuelle du nombre d’entreprises engagées dans :

• Protection à jour contre les logiciels malveillants (de 76 % en 2023 à 83 % en 2024)
• Restreindre les droits d'administrateur (67 % à 73 %)
• Pare-feu réseau (66 % à 75 %)
• Processus convenus pour les e-mails de phishing (48 % à 54 %)

Selon le rapport, il s'agit d'un renversement d'une tendance observée au cours des trois années précédentes de l'enquête, où certaines régions avaient connu des déclins constants. Cependant, des inquiétudes subsistent sur les points suivants :

Gestion des risques: Moins d’un tiers (31 %) des entreprises ont réalisé des évaluations des cyber-risques au cours de l’année écoulée (contre 63 % des moyennes entreprises et 72 % des grandes entreprises). De plus, seul un tiers (33 %) ont déployé une surveillance de la sécurité (63 %, 71 %).

Risque fournisseur : Seules 11 % des entreprises examinent les risques liés à la chaîne d’approvisionnement, contre seulement 28 % des entreprises de taille moyenne et moins de la moitié (48 %) des grandes entreprises.

Engagement du conseil d’administration : Seulement 30 % des personnes interrogées ont des membres de conseil d'administration directement responsables de la cybersécurité, soit la moitié (51 %) des entreprises de taille moyenne et 63 % des grandes entreprises. Ceci est inchangé depuis l’année dernière.

Stratégie: Seulement 58 % des entreprises de taille moyenne et 66 % des grandes entreprises ont même mis en place une stratégie formelle de cybersécurité.

Réponse aux incidents: Seul un cinquième (22 %) dispose de plans de réponse aux incidents, soit 55 % et 73 % des moyennes et grandes entreprises.

Aide externe : Seulement 41 % des personnes interrogées déclarent rechercher des informations ou des conseils sur la cybersécurité en dehors de l’organisation, soit moins qu’en 2023 (49 %). Seuls 13 % connaissent les recommandations du Centre national de cybersécurité. Conseils en 10 étapes (37 %, 44 %) et seulement 12 % ont dit la même chose à propos de Cyber ​​Essentials (43%, 59%).

Ce qu'en pensent les experts

Marie Wilcox, évangéliste en matière de sécurité chez Panaseer, affirme que même les améliorations en matière de cyber-hygiène ne peuvent masquer la mauvaise posture de sécurité de nombreuses entreprises britanniques.

« Les organisations ne parviennent toujours pas à mettre en place les contrôles de sécurité essentiels. Au mieux, les organisations sont encore en dessous des normes de 2021. Même les grandes entreprises qui comprennent les risques ne parviennent souvent pas à mettre en œuvre des contrôles correctement : au moins 29 % n'ont pas mis en place de contrôles pour la gestion des correctifs ou pour restreindre l'accès aux appareils appartenant à l'organisation », affirme-t-elle.

« Alors que les attaquants ont tendance à choisir les fruits les plus faciles à trouver, 98 % des violations pourraient être évitées en se concentrant sur les principes fondamentaux de sécurité et une meilleure cyber-hygiène. Se placer au milieu du peloton en mettant en place les contrôles et les politiques appropriés aidera à parer à la grande majorité des attaques.

Le stratège en chef de la sécurité de Cylera, Richard Staynings, désigne la gestion des risques liés aux tiers comme un échec critique pour de nombreuses entreprises britanniques. Il soutient que les fournisseurs ne devraient jamais remporter de contrats pour des secteurs d’infrastructures critiques comme les soins de santé simplement sur la base de l’offre la plus basse.

« Le problème est que peu d'entreprises appliquent les [meilleures pratiques de sécurité] dans leurs contrats avec des tiers, ce qui en fait une condition préalable pour s'assurer qu'elles disposent de politiques et de procédures conformes à nos propres normes, qu'elles disposent d'une assurance qualité, d'une formation du personnel et de contrôles d'accès. mis en place et qu'ils fournissent la certification ISO/IEC 27001 – la norme la plus connue au monde pour les systèmes de gestion de la sécurité de l'information (ISMS) », ajoute-t-il.

Le PDG de Socura, Andy Kays, est particulièrement consterné par le nombre relativement faible d'entreprises qui ont mis en place des plans formalisés de réponse aux incidents – un fait qu'il qualifie d'« stupéfiant ».

« Les entreprises auront toujours un plan en cas d’incendie, mais n’appliqueront pas la même diligence en cas de violation de données – ce qui est statistiquement beaucoup plus probable. Cela va à l’encontre du bon sens », poursuit-il.

« En cas de violation, les entreprises ne tiennent pas de registres, n’informent pas la police ou les régulateurs, n’évaluent pas l’ampleur et l’impact de l’incident. Ils ne font pas le strict minimum. Il est également important de noter que les entreprises font très peu pour prévenir ou détecter les violations. »

Construire un avenir plus résilient

L’une des conclusions les plus décevantes du rapport est le manque de sensibilisation aux initiatives de sécurité gouvernementales telles que les 10 étapes et Cyber ​​Essentials, conçues pour améliorer la sécurité de base des entreprises ordinaires. Il en va de même pour les normes de sécurité de renommée mondiale telles que la norme ISO 27001, même si certains répondants la considèrent en termes positifs. Matt Thomas, responsable des marchés britanniques chez NCC Group, affirme que cela devrait figurer sur la liste des tâches à accomplir pour de nombreuses grandes organisations.

« Même si la certification ISO 27001 ouvre avant tout la voie aux entreprises pour accroître leur cyber-résilience, les avantages vont bien plus loin. Du point de vue de la crédibilité, cela peut contribuer à protéger la réputation. Et en tant que cadre mondialement reconnu, il peut faciliter les audits et l’adaptation des stratégies, tout en garantissant que les entreprises respectent la législation et évitent des amendes coûteuses », a-t-il déclaré à ISMS.online.

« Si la norme ISO 27001 était adoptée plus largement, nous pourrions avoir un tableau très différent lorsque les futures enquêtes sur les cyberattaques seront publiées. Les entreprises qui adoptent une approche proactive en matière de cyber-hygiène sont sans aucun doute moins susceptibles d’être victimes d’une cyber-attaque.

Keith Fenner, directeur général EMEA et Diligent, conclut que la législation européenne comme NIS 2 et DORA obligera de nombreuses organisations à améliorer leur gestion des risques et leurs rapports.

« Pour se préparer, les organisations ont besoin d'un programme de conformité informatique robuste, qui est de plus en plus soutenu par des capacités d'IA et d'automatisation pour leur permettre de mapper les contrôles sur plusieurs réglementations et de surveiller en permanence les contrôles afin de réduire la probabilité de violations de données », a-t-il déclaré à ISMS.online.

« Ce programme devrait faire partie d'une plateforme GRC intégrée pour faciliter les audits internes et externes, permettre à plusieurs parties prenantes de l'organisation de visualiser et de collaborer, et de permettre un reporting rationalisé jusqu'au conseil d'administration, afin que les cyber-risques soient intégrés dans la stratégie globale de l'organisation. . Enfin, le conseil d’administration et la direction devraient tirer parti des programmes de formation et des certifications – ainsi que faire appel à leurs RSSI – pour renforcer leurs connaissances en matière de cybersécurité afin de pouvoir gérer efficacement les cyber-risques à l’échelle de l’entreprise.