Des entreprises belges craignent de ne pas pouvoir découvrir les toutes nouvelles attaques, selon l’enquête réalisée par PwC à l’occasion d’Infosecurity 2014.
Le salon consacré à la sécurité de l’information Infosecurity a organisé en prélude à son édition 2014 et pour la première fois une enquête auprès des entreprises et institutions belges à propos des incidents de sécurité, à l’instar de ce qu’Infosecurity fait aussi dans d’autres pays. En tout, 288 entreprises et institutions publiques ont participé à cette première édition de l’enquête effectuée par PwC.
Malware et virus
Quasiment un quart des répondants a mentionné avoir été aux prises avec une brèche dans la sécurité de l’information au cours de l’année écoulée, dont pratiquement la moitié en raison d’un maliciel (malware) ou d’une infection virale. Quasiment deux tiers ont affirmé avoir constaté l’incident soit immédiatement, soit dans les quelques heures qui ont suivi, et seuls 18 pour cent ont eu besoin de plus d’une semaine, voire d’un mois. Ce sont des chiffres étonnants, puisque dans d’autres pays, l’on évoque une durée nettement plus longue séparant l’incident de sa découverte. L’on peut donc assurément parler ici du ‘sommet de l’iceberg’.
A côté des attaques externes, les propres collaborateurs des entreprises/institutions demeurent aussi une source de danger avec quelque 16 pour cent des incidents à mettre à leur compte. Une plus grande attention accordée aux processus ID et d’authentification s’impose donc ici. Par ailleurs, il est particulièrement important de conscientiser le personnel – à tous les échelons – des menaces possibles et des conséquences des atteintes à la sécurité.
Attaques invisibles
Ce qui est plus préoccupant, c’est que seuls 27 pour cent des répondants estiment être à même de détecter les toutes nouvelles générations d’attaques plus sophistiquées. Plus les attaques recourent à des moyens visant à camoufler du code maliciel, plus elles sont exécutées de manière cachée et sur une longue durée, via divers canaux, partiellement ciblées et par le biais de personnes spécifiques, plus cette impuissance manifestée par les répondants risque d’augmenter.
Ne serait-ce que parce que l’impact sur l’activité est bien identifié par les répondants – dans 65 pour cent des incidents découverts, il y avait des effets sur les résultats d’exploitation -, mais qu’il est jugé assez faible. PwC organise chaque année aussi une étude sur les conséquences des délits économiques, qui met en lumière des dommages significatifs.
Le point positif, c’est que les investissements dans la sécurité augmentent et que la sécurité est bien prise en considération par la direction des entreprises. L’important, c’est que le management mise non seulement sur les moyens de sécurité nécessaires, mais aussi sur la manière de mieux se préparer aux incidents éventuels. L’étude montre en effet clairement qu’un incident n’est pas une question de ‘si’, mais bien de ‘quand il va se produire’.
