Parierez-vous une barre chocolatée sur la capacité de votre organisation à prévenir une violation de données ? C'est sur cette question à l'allure de boutade que s'ouvrait une étude de l'éditeur Ivanti, portant sur le niveau de préparation des entreprises face aux cybermenaces en 2023. À celle-ci, une organisation sur cinq a répondu par la négative, révélant qu'en matière de cybersécurité la confiance n'est pas tout à fait acquise partout. Néanmoins, 82% des répondants s'estiment bien préparés face aux cybermenaces en 2023, en particulier en ce qui concerne le soutien des dirigeants, la visibilité sur les actifs et la sécurité du cloud. Par ailleurs, les budgets de sécurité IT sont majoritairement orientés à la hausse (73% des cas, contre 26% de budgets stables et 1% seulement en baisse).
Face à la proportion significative d'entreprises peu confiantes dans leurs capacités à éviter une violation de données, le reste de l'étude propose quelques pistes pour comprendre où résident les difficultés. S'y retrouvent ainsi les enjeux classiques, bien connus des RSSI : la complexité de la stack technique, citée par 37% des sondés ; la pénurie de compétences en cybersécurité (36%) ou encore la formation insuffisante (33%) ou inefficace (32%) des employés. Mais l'enquête révèle aussi d'autres zones d'ombre. Ainsi, 45% des professionnels de cybersécurité interrogés ont connaissance d'anciens employés ou prestataires ayant conservé des accès au système d'information ou le suspectent.
Des patches tous urgents
Un autre point noir porte sur la gestion des patches : pratiquement tous les répondants indiquent disposer d'une procédure pour les prioriser, mais celle-ci n'est pas documentée dans un tiers des cas. Par ailleurs, les différents critères de priorisation proposés aboutissent tous à classer comme hautement ou modérément urgents plus de 85% de correctifs. Or, si tout est urgent, rien ne peut vraiment l'être et les équipes sont véritablement submergées.
Enfin, plus ennuyeux encore, l'étude d'Ivanti montre que les dirigeants adoptent davantage de comportements à risques que la moyenne des employés. Plus d'un tiers des chefs d'entreprise interrogés ont ainsi cliqué sur un lien de phishing (plus de quatre fois le taux des employés), une proportion élevée pouvant s'expliquer par le fait que ces dirigeants sont plus fréquemment visés par les tentatives d'hameçonnage ciblé. Un soin particulier doit donc être accordé à la formation et à la sensibilisation de ces populations, d'autres résultats témoignant des efforts restant à accomplir : ainsi, un dirigeant sur quatre utilise des mots de passe incluant des dates d'anniversaire et ils sont également cinq fois plus susceptibles que leurs salariés de partager leurs accès avec des acteurs externes à l'entreprise.
Cybersécurité: les comportements des dirigeants pointés du doigt
0
Réaction
Si la majorité des entreprises aborde 2023 mieux préparée face aux cybermenaces, une étude réalisée par l'éditeur Ivanti met en évidence certaines faiblesses persistantes. Parmi celles-ci figure l'occurrence plus élevée de comportements risqués chez les dirigeants, alors même que ceux-ci sont une cible privilégiée avec les attaques au président.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire