5 défis que organismes financiers (et bien d’autres) doivent relever en matière de cybersécurité

Benoit Grunemwald
Par Benoît Grunemwald Publié le 2 mai 2021 à 8h00
Cybersecurite Organisme Financier Defis
@shutter - © Economie Matin
24%24?% des personnes interrogées estiment que leur organisation n'a pas dispensé une formation suffisante sur les risques liés au travail à distance.

Pourquoi de nombreuses organisations ont-elles du mal à suivre l'évolution du paysage des menaces et à gérer efficacement leurs cyber-risques ?

Les organismes financiers sont depuis longtemps une cible privilégiée pour les cybercriminels. Ce n'est pas sans raison, puisqu'en plus de manipuler des flux financiers, les sociétés financières traitent un grand nombre de données sensibles, dont des données clients, que les criminels utilisent pour usurper des identités ou les vendent sur le dark web. Selon le rapport 2020 Data Breach Investigations Report, de Verizon, l'année dernière uniquement, le secteur financier a subi plus de 1?500 incidents, avec 448 divulgations de données confirmées.

En plus des menaces de longue date, la plupart des entreprises ont dû faire face à la transition rapide vers le télétravail. Cette transition s'est faite dans un délai extrêmement court, laissant aux entreprises peu de temps pour déployer des mesures de cybersécurité adéquates ou pour préparer les employés aux cybermenaces imminentes. Et si la pandémie finit par s'estomper, le travail à distance, lui, est là pour rester. Il vient s'ajouter à la liste des défis que les entreprises doivent relever lorsqu'elles préparent leurs plans et politiques de cybersécurité.

Alors que de nombreuses entreprises sont à la recherche de professionnels de la cybersécurité, expérimentés ou en devenir, pour rejoindre leurs rangs et les aider à établir un périmètre défensif contre les menaces, ils ne sont tout simplement pas assez nombreux. Il y a toujours une pénurie mondiale de 3,12 millions de personnes. En fait, pour combler la pénurie mondiale de talents, il faudrait que les niveaux d'emploi augmentent de 89?% dans le monde entier. Ainsi, pour attirer les plus brillants esprits de la cybersécurité, les entreprises doivent offrir des salaires compétitifs et des opportunités de travail épanouissantes.

L'insuffisance des budgets alloués à la cybersécurité est un autre facteur clé qui empêche de s'attaquer de front aux cybermenaces. Selon une enquête menée par Ernst and Young, 87?% des organisations interrogées ont déclaré qu'elles ne disposaient pas d'un budget suffisant pour atteindre les niveaux de cybersécurité et de résilience qu'elles visaient. Les entreprises ne peuvent pas recruter suffisamment de talents en cybersécurité ou mettre en place les mesures techniques dont elles ont besoin pour être résilientes face aux diverses cybermenaces.

Une erreur courante des entreprises est aussi de surestimer la qualité de leurs mesures. Bien qu'elles puissent croire qu'elles maîtrisent la situation, les entreprises n'ont peut-être pas mis en place les meilleures politiques de gestion des correctifs de vulnérabilité. Un bon exemple est la vulnérabilité BlueKeep présente dans Windows. Le correctif a été publié en mai 2019, Microsoft exhortant tout le monde à procéder à cette mise à jour immédiatement. Un mois plus tard, la National Security Agency a publié son propre avertissement. Pourtant, en juillet, il y avait encore plus de 805?000 machines sensibles à cette faille de sécurité.

Également, le fait que les employés ne reçoivent pas suffisamment de formation de sensibilisation à la cybersécurité est un autre phénomène courant qui nuit à la cybersécurité d'une entreprise . Les risques que les employés soient incités à télécharger des logiciels malveillants ou à divulguer les informations d'identification de leur entreprise ont été amplifiés par le passage au télétravail, alimenté par le COVID-19. Selon une étude menée par le Ponemon Institute, bien que les entreprises aient enregistré une recrudescence des cyberattaques pendant la pandémie, 24?% des personnes interrogées estiment que leur organisation n'a pas dispensé une formation suffisante sur les risques liés au travail à distance. L'étude a également révélé que plus de la moitié des entreprises n'avaient aucune politique de sécurité couvrant les besoins des employés à distance.

De plus, certaines organisations sous-estiment la valeur de la cybersécurité pour leur entreprise et choisissent plutôt d'investir dans d'autres aspects qu'elles jugent plus judicieux, comme le financement de leur expansion ou le développement de nouveaux produits. Elles pourraient faire valoir que les coûts sont supérieurs aux avantages, par exemple que le coût des mesures de cybersécurité est supérieur aux pertes potentielles résultant d'une violation des données. Toutefois, si les amendes et les pertes potentielles peuvent être moindres à court terme, l'atteinte à la réputation pourrait avoir des répercussions plus importantes, notamment la perte de confiance des clients, ce qui affecterait leurs revenus. Par ailleurs, en cas de succès, les cybercriminels pourraient avoir accès à leur propriété intellectuelle qu'ils pourraient vendre avec les données des clients sur le dark web. Par conséquent, la cybersécurité ne doit pas être envisagée après coup, car elle sert à protéger à la fois l'entreprise et ses clients.

Toute combinaison des facteurs susmentionnés pourrait constituer un cas parfait pour une pléthore d'organisations confrontées à une cyberattaque. Le bon côté des choses, c'est que les entreprises de services financiers ont commencé à prendre au sérieux les problèmes de cybersécurité au plus haut niveau. Le cabinet mondial de conseil en gestion McKinsey a constaté que 95?% des comités de conseil interrogés déclarent discuter des cyber-risques et des risques technologiques au moins quatre fois par an. Il convient toutefois de noter que la sensibilisation des cadres supérieurs doit aller de pair avec l'investissement de sommes suffisantes dans des solutions de cybersécurité et la formation du personnel aux meilleures normes possibles.

Laissez un commentaire
Benoit Grunemwald

Expert en Cyber sécurité pour ESET France