Les firmes actives sur le marché suisse négligent les menaces informatiques

Les firmes suisses actives sur le marché local ne prennent pas suffisamment au sérieux les défis posés par la sécurité en ligne. La majorité d’entre elles n’ont pas conscience des menaces, alors que seul un tiers considère la cybersécurité comme un impératif d'importance stratégique. Ces constats proviennent des conclusions d’une récente étude qualitative, conduite par le cabinet Deloitte. Intitulé «Cyber Security in Switzerland – Finding the balance between hype and complacency», le rapport fait ressortir les perceptions divergentes entre les entreprises qui, d'un côté, opèrent à l'international et de l'autre, celles tournées vers le marché domestique. Ainsi, les firmes active à l’international ont en majorité une conscience plus élevée des menaces en ligne et accordent une plus grande importance à la problématique de la cybersécurité. En revanche, dans les deux cas, 80% des sociétés concèdent qu’elles n’en font pas encore suffisamment pour se protéger. 

Héberger des zombies… un risque négligé

Plusieurs raisons amènent les entreprises à sous-estimer les menaces informatiques, entre autres le fait que la cybersécurité reste considérée comme un problème purement informatique. En outre, les investissements se basent sur des considérations plus tactiques que stratégiques. Les participants à l’étude soutiennent fréquemment que leur société ne risque rien, car elle n’héberge aucune donnée susceptible de motiver des cyber-attaques. Les analystes de Deloitte réfutent cet argument, sachant que les entreprises ne sont pas forcément la cible première. Leurs ressources informatiques pouvant notamment être infiltrées par des hackers pour être incluses dans un réseau de zombies (botnets). Les PC servent alors de relai pour diverses opérations malveillantes, telles que la diffusion de pourriels et de virus. En outre, une partie des entreprises estiment qu’elles ne sont pas vulnérables en se basant seulement sur les conclusions d’audits financiers ou de conformité réglementaire. Or, ce type de contrôles exclut un large pan des applications et infrastructures IT, dont les systèmes de détection d'intrusion et de gestion des vulnérabilités. 

Un cercle vicieux d'aveuglement

Les analystes de Deloitte relèvent en outre qu’environ 70% des incidents sécuritaires se font détecter par des intervenants externes, et non par les entreprises elles-mêmes, lesquelles vont ignorer parfois durant des mois la survenue d’un problème. «Les sociétés sont toujours surprises de voir qu'elles n'ont pas repéré des signes annonciateurs, ou qu'elles se trouvent dans l'incapacité de reconstituer les incidents, en raison de données enregistrées incomplètes», commente Mark Carter, Associé responsable du département Security & Resilience chez Deloitte Suisse. Ce phénomène s’inscrit dans ce que les personnes interrogées décrivent comme un «cercle vicieux d'aveuglement»: les entreprises manquant de solutions à même de détecter les incidents sécuritaires, elles ne s'en inquiètent guère et n'investissent pas davantage dans leurs systèmes de protection. 

Investir dans la cyber-intelligence

Selon Deloitte, pour que ce cercle vicieux s’interrompe et devienne vertueux, il faut souvent qu’un événement catalyseur (tel un incident majeur) advienne. Toutefois, celui-ci doit surtout être suivi d’une véritable prise de conscience des dirigeants, afin de garantir la mobilisation de la compagnie, aussi bien financièrement que stratégiquement, dans l’objectif d’initier une transformation durable. L’étude soulève par ailleurs une tendance encourageante: la majorité des personnes interrogées confient que leur entreprise investit pour accroître ses capacités de cyber-intelligence. Quand elle prend des mesures de cette nature, une société devient logiquement plus apte à percevoir les menaces sécuritaires, mais également à détecter la survenue d’incidents. L’un des participants à l‘étude note ainsi que, paradoxalement, les investissements en cybersécurité ont augmenté le nombre de détection d’incidents de 40%! 

A propos de l’étude

Conduite par le cabinet Deloitte, cette étude qualitative se fonde sur des entretiens menés auprès d’un échantillon de 17 personnes en charge de la sécurité informatique, de l'ingénierie de sécurité ou des opérations. Et ce, au sein de firmes actives en Suisse représentant différents secteurs.