Tanium, éditeur d’une plateforme de visibilité et de contrôle des postes de travail et des serveurs pour les grands comptes a demandé au cabinet Vanson Bourne d’interroger 750 entreprises internationales de plus de 1000 collaborateurs sur leurs investissements liés à la sécurité et à la mise en conformité avec le RGPD.
Pour les responsables français, dont les 2/3 affirment avoir dépensé plus d’un million d’euros pour être en conformité avec la réglementation, la situation de leur système informatique n’est pas claire. Ils découvrent tous les jours de nouveaux postes ou serveurs dans leur organisation. Avec pour conséquence que moins d’un quart d’entre eux (22%) estiment avoir une visibilité instantanée de leur architecture IT.
Et ils craignent donc que ce manque de visibilité dissimule des défauts de conformité, ce qui pourrait induire une amende.
Des investissements indéniables…
Une situation qui reste donc difficile malgré de très nombreux recrutements : 85% des entreprises ont embauché de nouveaux talents, et 86% des sociétés interrogées ont consenti des efforts conséquents dans la formation. Des efforts humains accompagnés par des investissements logiciels ou dans des services cyber en mode SaaS dans 80% des entreprises, dont la moitié (38%) ou presque compte désormais plus de 10 solutions. 77% se sont aussi équipés pour le classement de leurs données.
Mais ces avancées vers la conformité réglementaire induisent une complexité accrue des systèmes, au moins pour les 50% d’entreprises qui indiquent exploiter plus de 40 solutions dédiées à la sécurité et à l’exploitation. Et malgré tous ces outils, 65% des responsables ne savent pas exactement de quoi est composé leur SI. Difficile dans ces conditions de garantir une parfaite protection.
… et pourtant un manque de visibilité flagrant
L’étude commandée par Tanium fait apparaître 5 raisons principales à ce défaut de visibilité très pénalisant. Sans surprise, la principale cause est humaine et vient du manque de collaboration entre services informatique et production, une situation analysée dans 35% des cas. Viennent ensuite les grands classiques : manque de moyen dédiés à l’IT pour 33%, foisonnement de solutions disparates pour 32% et systèmes obsolètes et donc non pertinents pour 27%.
Enfin, et sans surprise, les installations sauvages d’outils non officiels par les services et le Shadow IT.
Tous ces défauts organisationnels, culturels, et techniques inquiètent les Directeurs Informatiques, non seulement à cause des amendes encourues, mais aussi des risques de cyberattaques non maîtrisés qui en découlent. 47% des DSI craignent que leur entreprise soit vulnérable, 34% redoutent que cela affecte l’expérience client et 30% ont peur pour la réputation de la marque et l’image de leur société.
Face aux résultats globalement peu rassurants de cette étude (forcément un peu orientée puisque Tanium est un acteur majeur de la visibilité des SI), seulement 11% des dirigeants interrogés mettent une meilleure visibilité de leurs réseaux dans leurs préoccupations pour 2020. Leurs efforts seront principalement concentrés cette année sur les cyber-risques et la sophistication croissance des attaques (26%) ainsi que sur les difficultés d’exploitation simultanée des infrastructures physiques, virtuelles et Cloud (18%).
Enfin, les responsables n’excluent pas les risques internes et 25% d’entre eux mentionnent les risques liés aux liens malveillants sur lesquels ils craignent que les employés cliquent sans réfléchir ouvrant la porte aux ransomwares et autres attaques de vols d’identifiants.