30 janvier 2019
Cependant, l'incapacité à estimer le coût des cyber-risques prive les conseils d'administration de toute visibilité
Tenable®, Inc., la société de Cyber Exposure, a publié le rapport Mesure et gestion des cyber-risques pour les opérations commerciales, une étude indépendante menée par le Ponemon Institute. Ce rapport révèle que 60 % des entreprises dans le monde ont connu au moins deux cyber-événements ayant perturbé leur activité au cours des 24 derniers mois.Les cyber-événements mentionnés prenaient la forme de cyber-attaques entraînant une perte de données ou des perturbations ou des temps d'arrêt importants pour les opérations, la production et le matériel d'exploitation. De plus, la grande majorité des sondés (91 %) ont connu au moins un cyber-événement au cours de la même période.
Malgré ces faits avérés, l'étude a révélé que la majorité des entreprises (54 %) ne mesurent pas, et ne comprennent donc pas, les coûts induits par le cyber-risque. Ce rapport conclut que les entreprises ne sont pas en capacité de prendre des décisions qui soient fondées sur les risques et étayées par des indicateurs précis et quantifiables. Par conséquent, l'équipe dirigeante et le conseil d'administration manquent d'informations exploitables.
La transformation digitale a donné naissance à un environnement informatique complexe mêlant cloud, DevOps, mobilité et IoT, autant d'éléments interconnectés qui viennent redéfinir la surface d'attaque. En résulte un énorme décalage dans la capacité des entreprises à comprendre véritablement leur Cyber Exposure à un instant T. Selon l'enquête, menée dans 6 pays auprès de 2 410 décideurs IT et de sécurité, moins d'un tiers (29 %) des sondés déclarent avoir une visibilité suffisante sur leur Cyber Exposure (infrastructure IT traditionnelle, cloud, conteneurs, IoT et technologies opérationnelles) pour réduire efficacement leur exposition au risque. Outre ce manque de visibilité, plus de la moitié des sondés (58 %) déclarent manquer de personnel pour déceler les vulnérabilités en temps voulu et seuls 35 % effectuent des scans si une évaluation fait état de risques pour les données sensibles.
L'ensemble de ces données révèle que les outils et les approches utilisés par les entreprises ne permettent pas d'obtenir la visibilité et les ressources requises pour gérer, mesurer et réduire les cyber-risques.
Parmi les entreprises qui mesurent les coûts du cyber-risque, 62 % doutent de l'exactitude de leurs indicateurs. Par conséquent, les décisions relatives à l'allocation des ressources, aux investissements technologiques et à la priorisation des menaces sont prises sans avoir connaissance de certaines informations essentielles, telles que les coûts liés au vol de propriété intellectuelle, à la perte de revenus ou à la perte de productivité. Les entreprises admettent ne pas utiliser les KPI qu'elles considèrent pourtant les plus importants pour évaluer et comprendre les cyber-risques :
- 64 % des sondés classent le « délai d'évaluation » comme un KPI essentiel, mais seulement 49 % d'entre eux le mesurent.
- 70 % des sondés évaluent le « délai de remédiation » comme un KPI essentiel, mais seuls 46 % le mesurent.
- Seuls 30 % des sondés estiment que leur entreprise peut traduire les KPI du cyber-risque en mesures concrètes.
Ce manque de rigueur laisse le conseil d'administration dans l'ignorance quant au véritable coût des cyber-risques pour leur entreprise. Sans avoir confiance dans l'exactitude de leurs indicateurs, les RSSI et autres services de sécurité hésitent à partager des informations pourtant déterminantes sur les coûts induits par les cyber-risques avec le conseil d'administration.
« Dans l'économie digitale, le cyber-risque est un risque pour l'activité. Il est choquant d'apprendre que les entreprises connaissent des cyber-événements et ne parviennent pas à mesurer le coût financier qui en résulte », déclare Bob Huber, CSO chez Tenable. « Cette étude lève le voile sur le fait que la plupart des entreprises n'ont pas mis en œuvre d'indicateurs de sécurité qui reflètent l'importance du rôle de la cyber-sécurité pour l'entreprise ». Les RSSI ont besoin d'indicateurs fiables pour les aider à prendre des décisions éclairées sur l'allocation des ressources, les investissements technologiques et la priorisation des menaces. »
Pour en savoir plus et télécharger le rapport, rendez-vous sur https://fr.tenable.com/cyber-exposure/ponemon-cyber-risk-report.
Notes aux rédactions :
- L'enquête a été menée auprès de 2 410 professionnels de l'IT et de la sécurité aux États-Unis, au Royaume Uni, en Allemagne, en Australie, au Mexique et au Japon. Tous les sondés participent à l'évaluation et/ou à la gestion des investissements dans les solutions de cyber-sécurité au sein de leur entreprise.
- Une infographie est disponible sur demande.
À propos de Tenable
Tenable®, Inc. est la société de Cyber Exposure. Plus de 24 000 entreprises dans le monde comptent sur Tenable pour comprendre et réduire leur cyber-risque. Après avoir créé Nessus®, Tenable a enrichi son expertise en matière de vulnérabilités pour proposer Tenable.io, la première plateforme au monde capable de voir et de sécuriser tous les assets digitaux, quelle que soit la plateforme informatique. La clientèle de Tenable comprend plus de 50 % des sociétés du Fortune 500, plus de 25 % des sociétés du Global 2000, ainsi que de grandes administrations publiques. Pour en savoir plus, rendez-vous sur fr.tenable.com.
Contact :
Cayla Baker
[e-mail protégé]