Plus d’un tiers des organisations ne juge personne responsable des cyberattaques

0
110

L’étude mondiale de LogRhythm révèle le décalage entre les décideurs des entreprises et les équipes de sécurité, alors même que les nouveaux risques liés au télétravail et aux rançongiciels augmentent.

Communiqué – LogRhythm, l’entreprise qui alimente les centres d’opérations de sécurité (SOC) actuels, a publié un rapport révélant que 60 % des organisations ont été victimes d’une cyberattaque au cours des deux dernières années et que 35 % d’entre elles ont déclaré que personne n’a été tenu responsable lorsque ces attaques se sont produites. Le rapport, « Security and the C-Suite: Making Security Priorities Business Priorities » (La sécurité et les dirigeants : faire des priorités en matière de sécurité les priorités des entreprises), montre le décalage entre les décideurs des entreprises et les équipes de sécurité informatique et son impact sur les budgets, la stratégie et les résultats opérationnels.  
 
Selon l’étude, 93 % des responsables de la sécurité informatique ne relèvent pas directement du PDG. En moyenne, les personnes interrogées se situent à trois niveaux hiérarchiques inférieurs à celui du PDG, ce qui rend très difficile de garantir que la direction a une compréhension précise et complète des risques liés à la sécurité. 60 % des personnes interrogées ont déclaré que les responsables de la sécurité informatique devraient rendre compte directement au PDG, car cela créerait une plus grande sensibilisation aux problèmes de sécurité dans l’ensemble de l’organisation.  
 
“Il est essentiel que les responsables de la sécurité informatique aient une influence sur les ressources, les budgets et les priorités stratégiques. Nous avons vu le paysage des menaces évoluer rapidement au cours des 12 à 18 derniers mois, ce qui signifie que les dirigeants doivent comprendre et reconnaître l’évolution des profils de risque et donner aux responsables de la sécurité informatique les moyens de réagir. L’impact du confinement et des quarantaines sur la cybersécurité devrait être un signal d’alarme assurant que la responsabilité des cyberattaques incombe autant aux équipes de sécurité qu’au PDG”, a déclaré Andrew Hollister, CSO adjoint et VP informatique chez LogRhythm. “S’il existe des risques de sécurité qui ne sont pas traités, les responsables de la sécurité informatique doivent être en mesure de fournir des recommandations et des actions concrètes que le PDG et le conseil d’administration peuvent approuver ou rejeter.”
 
Moins de la moitié des personnes interrogées (46 %) déclarent que la haute direction est convaincue que les responsables de la sécurité informatique comprennent les objectifs de l’entreprise. Seulement 43 % des personnes interrogées déclarent que leur organisation valorise et exploite efficacement l’expertise des responsables de la sécurité informatique. 
 
“L’évolution rapide vers le télétravail a créé toute une série de risques pour les équipes de sécurité informatique. L’étude montre qu’il s’agit désormais du plus grand défi de cybersécurité auquel les organisations sont confrontées. Les scénarios de télétravail doivent façonner les stratégies de sécurité et leur gestion nécessitera un nouveau budget et de nouvelles ressources. Tout changement majeur dans le comportement des utilisateurs nécessite que les équipes de sécurité et les organisations dans leur ensemble révisent, réorganisent et renforcent leur posture de sécurité, d’où l’importance de la collaboration et de la communication entre les dirigeants et les équipes de sécurité informatique”, a déclaré Kev Eley, vice-président des ventes pour l’Europe chez LogRhythm.   
 
63 % des personnes interrogées déclarent que leur principal risque réside dans les attaques de hameçonnage/ingénierie sociale, et 60 % des personnes interrogées affirment que les terminaux utilisés dans le cadre du télétravail et les rançongiciels présentent le plus de risques en matière de sécurité. Le télétravail crée de nouveaux défis de sécurité à mesure que la surface d’attaque augmente et que les employés sont plus susceptibles d’adopter des comportements d’utilisateur à risque en dehors de l’environnement familier de l’entreprise :

  • 73 % des personnes interrogées déclarent que des réseaux domestiques moins sécurisés sont utilisés par les employés de leur organisation.
  • 68 % des personnes interrogées déclarent que les employés et les sous-traitants pensent que l’organisation ne surveille pas leurs activités.
  • 67 % déclarent qu’un membre de la famille utilise un équipement appartenant à l’entreprise.

Parmi ces défis, 54 % des personnes interrogées s’inquiètent pour la sécurité de leur emploi, 63 % citant comme principal coupable un budget insuffisant pour investir dans les bonnes technologies. En outre, plus de la moitié (53 %) des personnes interrogées affirment que la haute direction ne comprend pas leur fonction, et 51 % des personnes interrogées estiment manquer de soutien de la direction. 
 
Le Ponemon Institute a interrogé 1 426 responsables de la sécurité informatique en Asie-Pacifique, dans la région EMOA et aux États-Unis pour le compte de LogRhythm. Pour plus d’informations sur LogRhythm ou pour télécharger le rapport complet, consultez Security and the C-Suite: Making Security Priorities Business Priorities.