Une étude réalisée par Ponemon Institute montre le décalage entre les responsables sécurité des entreprises et leurs directions générales. Ces dernières se montrent peu sensibles aux risques encourus.

Bien que les responsables de la sécurité des systèmes d’information considèrent que le cybercrime et le cyberterrorisme seront des menaces majeures dans les prochaines années, ils estiment également que les cadres dirigeants de leurs entreprises ne comprennent pas complètement l’impact de ces menaces, ce qui représente un réel obstacle pour une prévention efficace.

Ainsi est présentée l’étude menée par Ponemon Institute auprès de 1006 responsables sécurité aux USA, en Europe, Moyen-Orient et Afrique. Selon les résultats, 78% des répondants affirment que les comités exécutifs n’ont pas reçu de briefing sur la stratégie en matière de cybersécurité durant les 12 derniers mois et 66% pensent que la direction ne voit pas la cybersécurité comme une priorité stratégique.

« Les responsables sécurité sont généralement d’excellents techniciens mais ils ne parlent pas le langage du business », déclarait Larry Ponemon à SC Magazine. En dépit des attaques quotidiennes, les responsables des entreprises demeurent méfiants quant aux investissements à réaliser. « Le retour sur investissement est dévastateur pour la sécurité », poursuit M. Ponemon. « La sécurité n’a pas un bénéfice net prédictif ». Toutefois, M. Ponemon constate une évolution dans la formation de ces responsables de la sécurité du SI. En effet, de plus en plus de titulaires de ces postes dans les grandes entreprises américaines disposent à la fois d’une formation technique de haut niveau et également d’une formation business de type MBA.

L’étude met également en lumière le fort turnover qui existe dans ces professions, une situation qu’il explique en partie par l’absence de plan de carrière proposé à ces personnels. « En moyenne, un responsable sécurité reste 2,1 années en poste, loin des 6 années pour les autres cadres IT. A cause de cette absence d’évolution, ils préfèrent partir pour gagner un meilleur salaire ».

De plus de nombreux dirigeants considèrent – à tort – que leurs entreprises ne peuvent être ciblées. L’un des commanditaires de l’étude précise : « beaucoup d’entreprises ne se considèrent pas comme des cibles qui intéressent les hackers ». 

Les attaques zero-day, les malwares sur mobiles, le phishing le vol de données dans le cloud et les attaques contre les infrastructures réseaux sont les cinq menaces prioritaires identifiées par les entreprises. L’un des nouveaux champs va être l’Internet des objets pour lesquel seulement 1/3 des entreprises s’estiment prêtes du point de vue sécurité.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143962
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI