Entre mai et juin dernier, en collaboration avec Smile et Cisco, Telindus a sollicité 41 Chief Information Security Officers (CISO) et IT Managers luxembourgeois afin de savoir comment ils géraient les incidents liés à la sécurité informatique auxquels ils étaient confrontés. Mercredi, au cœur de la Cybersecurity Week, Telindus a dévoilé les résultats de cette étude lors d’une conférence ayant pour thème la gestion des incidents. Les conclusions de l’enquête ont été rassemblées au sein d’une infographie que Cédric Mauny, Cybersecurity Lead, a commenté.

22% déclarent n’avoir pas été confrontés à des incidents

« L’étude révèle que 78% des entreprises ont eu à gérer au moins un incident de sécurité sur l’année écoulée, précise l’expert. Il est étonnant, à l’heure actuelle, que 22% des répondants n’aient pas été confrontés au moindre incident. Si l’on s’attache aux principales causes des incidents constatés, 84% des acteurs déclarent avoir eu à faire face à des attaques de type « social engineering », du phishing ou du ransomware. 48% des incidents à gérer des erreurs humaines. 19% des répondants à l’étude disent avoir été confrontés à des attaques externes techniques, de réelles intrusions. »

Des acteurs confiants

Le cœur de l’étude visait à évaluer le niveau de confiance des acteurs dans leur capacité à gérer des incidents. « 69% des entreprises sont confiantes dans leur capacité à remettre l’activité sur pied suite à une attaque. Moins de la moitié, cependant, déclarent être en capacité de bien détecter un incident lorsque celui-ci survient, précise Cédric Mauny. Autre point : seulement 39% des acteurs se sentent suffisamment bien préparés vis-à-vis des enjeux de communication liés à l’incident et à sa gestion. »

Mettant en relation les sources d’incidents et le niveau de confiance des entreprises dans leurs mécanismes et processus de sécurité, Telindus se demande si tous les moyens sont mis en œuvre pour détecter les incidents et les menaces, pour identifier les vulnérabilités.

Contenir les attaques

Si 51% des acteurs déclarent avoir une stratégie de gestion des incidents en place, 37% disent travailler à son établissement et 12% déclarent n’avoir rien défini. « Les acteurs qui ont mis une stratégie en place disent avoir été motivés, en premier lieu, par la volonté de contenir les attaques et d’éviter toute propagation ainsi que par un désir de prévenir la récurrence d’incidents similaires, ajoute Cédric Mauny. Ensuite, vient seulement la volonté de limiter la durée nécessaire pour remettre sur pied l’activité business à la suite d’un problème. On voit que c’est l’IT avant tout, avant même le business, qui conduit à la mise en place de telles stratégies. »

Manque de soutien business

Lors de l’étude, il a été demandé à ceux qui n’ont pas mis en œuvre de stratégie de gestion des incidents quels sont les principaux freins à une telle démarche. Les réponses indiquent qu’il s’agit en premier lieu d’un manque de support du management dans cette voie (100% des répondants). Les autres raisons avancées sont des lacunes au niveau des compétences (60%) ou encore d’autres priorités (53%). « A la lumière de ces résultats, on voit très bien pourquoi il est important d’intégrer la cybersécurité au cœur des décisions business pour mettre en œuvre une stratégie efficiente », ajoute l’expert.

Une composante de la sécurité globale

Cet enjeu a animé une partie de la discussion qui a suivi la présentation de l’infographie reprenant les résultats de l’étude. Face aux convives présents, un panel, animé par Olivier Trientz, Senior Sales Consultant chez Telindus, était composé de Myriam Djerouni (RSSI Luxith G.I.E), Paul Rascagneres (Senior Threat Researcher, Cisco/Talos), Cédric Bonhomme (Security Software Engineer and Core Operator, SECURITYMADEIN.LU) et de Cédric Mauny. Au cœur des échanges, l’exigence de considérer la cybermenace comme un risque pour le business et pas uniquement pour l’IT a été largement commentée. Le panel a insisté sur la nécessité d’envisager la cybersécurité comme une composante de la sécurité globale de l’entreprise et de son activité. Les experts ont aussi pointé l’importance de tester les procédures à mettre en œuvre en cas d’incident en envisageant tous les scénarios. Il a été préconisé, enfin, d’aligner le business, les opérations et le développement sur une stratégie globale de cybersécurité, dans des approches de « security by design ».

Améliorer la prévention pour réduire le temps de détection

« La sécurité à 100% n’existe pas. Mieux se protéger implique une remise en question continue sur un domaine qui évolue en permanence, et c’est ce qui rend ce métier unique, a d’ailleurs rappelé Jacques Ruckert, Chief Solutions & Innovation Officer, Proximus Luxembourg-Telindus en introduction de cet événement. Comme le disait John Chambers, l’ex-CEO de CISCO, il y a deux types d’entreprises : celles qui ont subi des incidents de sécurité et celles qui ne le savent pas encore. Au vu des 206 jours en moyenne pour détecter une faille de sécurité, et comme le souligne notre étude, il est important d’améliorer la prévention afin de baisser ce temps de détection. »

[button color=”blue” link=”http://www.cybersecurity.telindus.lu/”]Voir infographie   [/button]