En matière de cybercriminalité, les conséquences économiques subies par les entreprises restent un facteur difficile à évaluer. Cependant, PwC a relevé ce défi et vient de publier les résultats de son 19e Global Economic Crime Survey. L’étude révèle le genre de chiffres qui attirent l’attention des cadres dirigeants ainsi que des actionnaires dans le cas de sociétés publiques. Selon l’enquête, « une poignée de personnes interrogées (environ 50 entreprises) ont déclaré avoir subi des pertes de plus de 5 millions de dollars, et parmi elles, presque un tiers a mentionné des pertes supérieures à 100 millions de dollars liées à la cybercriminalité ». Ce qui rend ce rapport différent est qu’au lieu d’essayer d’estimer les coûts des cyberincidents, PwC a recueilli l’opinion des hauts responsables.

Les cadres dirigeants et chefs d’unités opérationnelles représentent une grande partie des plus de 6 000 personnes interrogées. En d’autres termes, il s’agit d’une population qui comprend véritablement les détails opérationnels de son entreprise et qui se trouve dans la meilleure position possible pour apprécier la véritable incidence économique de la question.

Cybercriminalité et pertes économiques

La principale chose à retenir de l’enquête PwC de cette année est que la cybersécurité a atteint le deuxième rang de la liste globale des crimes économiques qui frappent les entreprises. Désormais, la cybercriminalité est surpassée uniquement par le traditionnel détournement de fonds, à savoir le vol d’argent.

En menant son enquête auprès des seuls directeurs généraux, PwC a découvert que 61 % de cette population de décideurs sont préoccupés par les questions de cybersécurité. Cela signifie que les dirigeants au plus haut niveau ressentent les effets de l’accroissement du piratage et d’autres cyberactivités au cours de ces quelques dernières années.

Une réponse inadéquate

Le rapport de PwC offre des statistiques tout aussi inquiétantes sur la manière dont les entreprises font face à la cybercriminalité. Seuls 37 % des répondants disposent d’un plan d’intervention complet en cas d’incident. Un des problèmes pour rendre ces plans opérationnels est le manque de qualification des effectifs. Le rapport révèle que 40 % seulement des entreprises interrogées disposent d’une équipe d’intervention entièrement formée.

Encore plus frappant peut-être est le manque de responsables informatiques de haut niveau aptes à faire face à ces attaques et à leurs conséquences. Moins de la moitié des équipes d’intervention d’urgence comprennent des responsables informatiques. Pour information, ces équipes sont principalement composées de membres de la direction générale (46 %), de la direction juridique (25 %) et de la direction des ressources humaines (14 %).

PwC indique que les réactions aux violations de données non entièrement coordonnées avec tous les acteurs appropriés (plus particulièrement les acteurs informatiques) « peuvent aussi limiter la capacité des entreprises à examiner toutes les zones ayant effectivement fait l’objet d’une violation, ce qui est particulièrement critique étant donné l’utilisation fréquente de techniques de diversion par les pirates ». En l’absence d’expertise informatique initiale, PwC remarque que les informations d’analyse technique sont négligées et peut-être même perdues.

Une défense véritable

Le rapport PwC se montre également très sévère à propos des autres sources qui font que la réponse aux cybermenaces est inadéquate : beaucoup de points cruciaux sont gérés dès le départ sur de mauvaises bases ! Quelques erreurs de sécurité particulièrement saillantes révélées par le rapport comprennent de mauvaises configurations système, des contrôles inadéquats et d’autres « fautes directes ».

Dans le monde de la sécurité informatique, nous appelons cela la défense « block-and-tackle ». Elle vise les actions les plus faciles à effectuer telles qu’exiger des mots de passe utilisateurs plus longs, de meilleurs contrôles des comptes à privilèges et des accès plus stricts aux fichiers. Comme le rappelle le rapport de PwC, lorsque vous partez sur de mauvaises bases, vous êtes condamné à subir des pertes économiques.

Le rapport recommande une défense multicouche comprenant l’implication des plus hauts niveaux de la hiérarchie (et même du conseil d’administration !) pour mettre en place une stratégie de cybersécurité, des évaluations de risques et des audits informatiques plus rigoureux, et implémenter des processus de supervision efficaces.

___________
Norman Girard est Vice-Président et directeur général Europe de Varonis