L'excès de confiance menace-t-il la sécurité des entreprises européennes ?
Selon l'enquête Steria, 91 % des entreprises européennes s'estiment capables de faire face à une crise majeure de sécurité. Mais entre la confiance affichée et la réalité des pratiques, la cohérence n'est pas totale.
Je m'abonneEn 2012, les attaques ciblées ont augmenté de 42 % dans le monde, portant désormais également atteinte à la compétitivité ou à la réputation des entreprises. On estime à 110 milliards de dollars les pertes financières dues à la cybercriminalité à l'échelle mondiale. Dans ce contexte, l'étude Steria sur la cyber-sécurité en Europe, menée auprès de 270 décideurs en sécurité, révèle où les entreprises européennes se situent aujourd'hui en matière de cyber sécurité et leurs anticipations à court et moyen termes. Ont-elles pris la mesure des attaques auxquelles elles seront de plus en plus confrontées ? Sont-elles préparées pour supporter des crises majeures ?
Eviter le vol des données
Pour près de la moitié des entreprises françaises, l'enjeu majeur est de protéger leurs avantages compétitifs, particulièrement contre le vol de données, au centre de toutes les préoccupations de 60 % des décideurs, aujourd'hui et pour les 3 ans à venir. L'effet Prism, Bullrun, Mandiant est bien présent. Parmi les attaques externes, l'espionnage IT est la menace plus redoutée pour 37 % des entreprises. Les " APT " (Advanced Persistent Threat), la menace en 3 lettres qui devrait faire trembler les responsables sécurité n'est en revanche pas encore identifiée parmi les risques majeurs.
Une confiance toute relative
Les entreprises françaises et européennes sont confiantes sur leur avenir en matière de sécurité tant sur le plan de la disponibilité des ressources que des budgets et sur leur capacité à supporter des risques majeurs : les entreprises européennes affichent une sérénité élevée dans l'éventualité d'une crise majeure de sécurité, 91 % d'entre elles s'estiment prêtes à y faire face et quasiment tout autant dans l'Hexagone. De plus, les budgets sécurité restent et devraient rester préservés : moins d'un tiers des entreprises interrogées anticipent une baisse. 85 % des répondants européens et 90 % des décideurs français considèrent qu'ils auront le budget sécurité adéquat dans les 3 prochaines années.
Mais la confiance affichée n'est pas en totale adéquation avec la réalité des pratiques... Les entreprises n'ont pas encore pris toutes les mesures adhoc nécessaires pour traiter les crises lorsqu'elles surviennent. La sécurité opérée en 24/7 n'est pas encore la référence, seul le quart des entreprises interrogées l'a mise en place, aussi bien en France qu'au niveau européen. Et même les plus grandes entreprises sont moins de la moitié à en bénéficier. Seules 14 % des entreprises de moins de 5000 personnes disposent d'un Centre Opérationnel de Sécurité (SOC) leur permettant de détecter les cyber-attaques et de réagir en cas de crise majeure de sécurité.
Cependant, le contexte légal favorable en France soutient le développement des SOC : 14 % des décideurs français déclarent avoir un tel projet dans les 3 ans à venir, loin devant l'Allemagne (5,6 %), le Royaume-Uni (4,1 %) et la Norvège (2,5 %). Enfin, seuls 15 % des sondés estiment avoir une assurance couvrant les cyber-risques, ce type d'assurance étant généralement jugée trop complexe.
Les attaques internes plus dangereuses que celles provenant de l'extérieur ?
Alors même que les attaques externes se multiplient, les attaques internes restent encore les plus redoutées par les entreprises européennes, et plus fortement en France. Ainsi, encore plus de 50 % des entreprises considèrent que les attaques externes représentent moins de 20 % des menaces.
L'enquête en infographie :
Méthodologie
Enquête réalisée par Steria, accompagné par Pierre Audoin Consultant (PAC), auprès de 270 décideurs en sécurité issus de petites, moyennes et grandes entreprises en France, au Royaume-Uni, en Allemagne et en Norvège.