Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Ce que coûtent vraiment les cyber-risques à l'entreprise : une étude Ponemon

L'étude révèle que les entreprises ne mesurent pas avec précision les coûts occasionnés par les cyber-risques et ne sont pas en mesure d'évaluer les dommages causés par les cyber-attaques sur leur activité. Sans ces informations essentielles, elles sont donc dans l'incapacité de prendre des décisions éclairées concernant l'allocation des ressources, les investissements technologiques et la priorisation des menaces.

Contrairement à d'autres domaines de l'entreprise (CRM, ERP, RH), la cyber-sécurité ne dispose pas d'indicateurs clairs qui permettent d'éclairer la prise de décision dans un langage que l'équipe dirigeante et le conseil d'administration comprennent facilement. Lorsque nous avons chargé Ponemon Research d'étudier les répercussions du cyber-risque sur les opérations des entreprises, notre objectif étant de découvrir la manière dont quatre KPI fréquemment utilisés pour mesurer la Cyber Exposure pouvaient permettre d'évaluer différents types de risques auxquels sont confrontées les entreprises. Nous ne voulions pas nous contenter d'évaluer les dommages financiers. Nous voulions aller plus loin et comprendre comment les cyber-risques influencent les stratégies d'entreprise, les produits, la chaîne d'approvisionnement, les flux de revenus, les opérations, les technologies, l'expérience client et la conformité réglementaire.

Après avoir interrogé 2 410 responsables IT et InfoSec dans six pays différents, nous avons constaté que les KPI ou les indicateurs traditionnels utilisés pour évaluer les risques auxquels sont confrontées les entreprises ne peuvent pas être utilisés pour comprendre les cyber-risques. Les entreprises ne mesurent pas avec précision les coûts occasionnés par les cyber-risques et ne sont pas en mesure de quantifier les dommages que les cyber-attaques pourraient occasionner sur leur activité. En conséquence, les décisions relatives à l’allocation des ressources, aux investissements technologiques et à la priorisation des menaces sont prises sans avoir connaissance de certaines informations essentielles. En outre, les entreprises ne sont pas capables de mettre en corrélation les informations recueillies à l'aide des KPI pour réduire les risques de fuite de données ou d'exploit de sécurité.

Alors que les conseils d'administration s'intéressent de plus en plus à la cyber-sécurité, l'étude Mesure et gestion des cyber-risques pour les opérations commerciales, menée par Ponemon Institute pour le compte de Tenable, révèle que les spécialistes doutent de l'exactitude des indicateurs utilisés pour mesurer les cyber-risques. En conséquence, les RSSI et/ou autres responsables des technologies de sécurité hésitent à partager des informations cruciales sur les coûts occasionnés par les cyber-risques avec leur conseil d'administration.

Analyse des KPI les plus courants

Pour réaliser cette étude, nous avons identifié quatre KPI fréquemment utilisés pour mesurer les cyber-risques :

  • le délai d'évaluation ;
  • le délai de remédiation ;
  • l'efficacité de la priorisation des cyber-risques et
  • l'identification des assets vulnérables aux cyber-risques, y compris les appareils OT et IoT.

Nous avons également étudié les trois KPI les plus souvent utilisés pour mesurer les conséquences financières d'une cyber-attaque :

  • la perte de revenus ;
  • la perte de productivité et
  • la chute du cours de l'action.

La grande majorité des sondés (91 %) ont admis avoir connu au moins un cyber-incident ayant perturbé l'activité de leur entreprise au cours des 24 derniers mois ; 60 % ont déclaré avoir connu deux incidents ou plus au cours de la même période. Ces attaques ont causé des fuites de données et/ou des perturbations et des temps d'arrêt conséquents pour les opérations, la production et le matériel d'exploitation.

Selon la majorité des sondés (58 %), les KPI ou autres indicateurs fréquemment utilisés pour évaluer les risques auxquels sont confrontées les entreprises ne peuvent pas servir à mesurer les cyber-risques. Seuls 41 % des sondés (988) déclarent que leur entreprise tente d'évaluer les dommages potentiels auxquels elle serait exposée en cas de cyber-événement. Entre outre, seuls 30 % des sondés ont affirmé que leur entreprise était capable de mettre en corrélation les informations recueillies à l'aide des KPI de cyber-risque pour prendre des mesures visant à réduire les risques de fuite de données ou d'exploit de sécurité.

Parmi les 988 sondés ayant déclaré que leur entreprise tente d'évaluer les dommages potentiels auxquels elle serait exposée en cas d'incident de sécurité :

  • 54 % ont déclaré évaluer ce qu'un vol de propriété intellectuelle leur coûterait ;
  • 43 % ont déclaré calculer les dommages financiers potentiels ; et
  • 42 % ont déclaré examiner quelles seraient les conséquences d'une perte de productivité des employés due à une fuite des données ou un exploit de sécurité.

Quels facteurs sont utilisés pour évaluer le risque potentiel d'une cyber-attaque ?

Évaluer le risque potentiel d'une cyber-attaque

Source : Mesure et gestion des cyber-risques pour les opérations commerciales, Ponemon Institute et Tenable, décembre 2018.

Nous avons demandé aux sondés d'évaluer la précision des informations recueillies à l'aide des KPI ci-dessus, en utilisant une échelle de 1 à 10, 1 signifiant « pas du tout précise » et 10 « très précise ». Seulement 38 % des sondés pensent que leurs mesures sont très précises, tandis que 44 % jugent qu'elles ne sont pas très précises.

Le rapport révèle également que les entreprises n'utilisent pas les KPI qu'elles jugent pourtant les plus importants pour évaluer et comprendre les cybermenaces. À titre d'exemple, les deux tiers des sondés (64 %) indiquent considérer le délai d'évaluation comme l'un des KPI les plus importants pour mesurer les cyber-risques, et pourtant seuls 49 % l'utilisent actuellement. Les trois autres KPI étudiés dans le cadre de ce rapport donnent lieu à des contradictions du même type (voir ci-dessous).

Écarts entre l'importance accordée aux KPI et leur utilisation

KPI Utilisé par (% de sondés) Considéré comme essentiel (% de sondés)
Délai d'évaluation des cyber-risques 49 % 64 %
Délai de remédiation aux cyber-risques 46 % 70 %
Identification des assets OT et IoT 34 % 62 %
Efficacité de la priorisation 38 % 57 %

Source : Mesure et gestion des cyber-risques pour les opérations commerciales, Ponemon Institute et Tenable, décembre 2018.

Mesure des cyber-risques : qui a dit que c'était facile ?

Les sondés ont identifié sept raisons principales expliquant pourquoi leur entreprise rencontre toujours des problèmes de cyber-sécurité :

  • Un manque de personnel dans les services dédiés à la sécurité IT
  • Un manque de ressources pour gérer les vulnérabilités
  • La multiplication des appareils IoT sur le lieu de travail
  • La complexité de l'infrastructure de sécurité IT
  • Une absence de contrôle de l'accès des tiers aux données sensibles et confidentielles
  • Une dépendance à l'égard des processus manuels pour réagir face aux vulnérabilités
  • Une visibilité insuffisante sur la surface d'attaque de leur entreprise

Certes, aucun de ces problèmes ne peut se régler en un coup de baguette magique. En revanche, nous pensons que suivre les cinq étapes décrites ci-dessous vous permettra d'aider votre entreprise à mettre en place une stratégie de cyber-sécurité adaptée à ses besoins.

  1. Identifier et mapper chaque asset, quel que soit l'environnement informatique
  2. Comprendre la Cyber Exposure de l'ensemble des assets, notamment en ce qui concerne les vulnérabilités, les mauvaises configurations et autres indicateurs d'état liés à la sécurité
  3. Analyser le niveau d'exposition en contexte pour prioriser la remédiation en fonction de la criticité de l'asset, du contexte de la menace et de la gravité de la vulnérabilité
  4. Prioriser les expositions à corriger en premier, le cas échéant, et appliquer le mode de remédiation approprié
  5. Mesurer et comparer sa Cyber Exposure pour prendre des décisions plus éclairées en matière de gestion et de technologies

Outre les conseils présentés ci-dessus, vous trouverez dans la conclusion du rapport Mesure et gestion des cyber-risques pour les opérations commerciales un processus de mesure et de gestion des cyber-risques en cinq étapes, que vous pouvez mettre en application dans votre entreprise dès aujourd'hui.

À propos de cette étude

Le rapport Mesure et gestion des cyber-risques pour les opérations commerciales se base sur une enquête menée auprès de 2 410 responsables IT et InfoSec basés aux États-Unis, au Royaume-Uni, en Allemagne, en Australie, au Mexique et au Japon. Toutes les personnes interrogées ont un rôle dans l'évaluation et/ou la gestion des investissements engagés par leur entreprise dans les solutions de cyber-sécurité. Ce rapport présente les enseignements tirés de cette enquête. Téléchargez-le gratuitement ici.

Abonnez-vous au blog Tenable

S'abonner
Essayer gratuitement Acheter dès maintenant

Essayer Tenable.io

GRATUIT PENDANT 60 JOURS

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Abonnez-vous dès maintenant.

Acheter Tenable.io

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

$2,275.00

Acheter maintenant

Essayer gratuitement Acheter dès maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies

Essayer gratuitement Acheter dès maintenant

Essayer Tenable.io Web Application Scanning

GRATUIT PENDANT 60 JOURS

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

$3,578.00

Acheter maintenant

Essayer gratuitement Contacter le service commercial

Essayer Tenable.io Container Security

GRATUIT PENDANT 60 JOURS

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion de vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

En savoir plus sur la sécurité industrielle

Obtenir une démo de Tenable.sc

Veuillez renseigner le formulaire ci-dessous et un représentant vous contactera sous peu pour organiser une démonstration. Vous pouvez également inclure un bref commentaire (limité à 255 caractères). Notez que les champs marqués d'un astérisque (*) sont obligatoires.