Les décisions liées aux dépenses de sécurité ne garantissent pas la protection des données sensibles

Les décisions liées aux dépenses de sécurité ne garantissent pas la protection des données sensibles

Thales, leader en systèmes d'information critiques, cybersécurité et protection des données, dévoile les résultats de son rapport 2017 sur les menaces auxquelles sont exposées les données. Ce rapport indépendant est publié conjointement avec le cabinet d'étude 451 Research. Au total, 68 % des répondants ont déjà été victimes d’atteintes à la protection des données, dont 26 % au cours de l'année écoulée − deux chiffres en augmentation (respectivement +7% et +22%) par rapport à l'année précédente. Paradoxalement, les dépenses globales en matière de sécurité sont également en hausse : en 2017, 73 % des organisations ont accru leurs dépenses de sécurité informatique, une progression de 15% versus 2016 (58 %). 

Les vieilles habitudes de sécurité ont la vie dure

Pour la 5e édition de ce rapport, une enquête a été menée auprès de 1 100 directeurs de la sécurité informatique dans des grandes entreprises du monde entier : leurs réponses montrent qu'il existe une divergence croissante entre les sommes dépensées par les entreprises en solutions de sécurité et la capacité réelle de ces solutions à protéger les données sensibles. Alors que 30 % des répondants considèrent leur organisation comme « très vulnérable » ou « extrêmement vulnérable » aux attaques ciblant les données (et que le nombre de violations ne cesse d'augmenter), les deux principaux postes de dépenses portent sur les solutions de protection du réseau (62 %) et des points d'accès (56 %). Contrairement aux attentes, les dépenses liées aux solutions de protection des données stockées arrivent en dernière position (46 %). 

Garrett Bekker, analyste senior en matière de sécurité de l'information chez 451 Research et auteur du rapport : « Comment expliquer ce constat troublant ? Les organisations continuent d'investir dans des solutions qui ont fait leurs preuves par le passé mais qui ne sont pas nécessairement les plus efficaces pour contrer les failles actuelles. Les politiques de protection des données doivent évoluer pour contrer les menaces du moment. Dans ce contexte, il n’est pas étonnant qu’en l’absence d’une évolution dynamique des stratégies de sécurité, le taux de violations continue de progresser. » 

La conformité, principale motivation des dépenses de sécurité informatique 

Les raisons qui sous-tendent les décisions liées aux dépenses de sécurité sont nombreuses, mais la motivation principale reste inchangée : il s'agit de la conformité. Près de la moitié des participants (44 %) font du respect des exigences de conformité leur première priorité en termes de dépenses, devant les bonnes pratiques (38 %) et la protection de la réputation et/ou de la marque (36 %). Par ailleurs, 59 % d'entre eux estiment que la conformité est un facteur « très » ou « extrêmement » efficace pour empêcher les violations des données. Or, bien qu'elles constituent une trame pour la mise en œuvre de la protection des données, les réglementations en matière de conformité ne doivent pas constituer l’unique référence dans l'élaboration d'une stratégie de sécurité suffisamment robuste pour résister aux attaques sophistiquées d'aujourd'hui. 

Cyberacteurs internes et externes, la principale menace 

Comme les années précédentes, le rapport 2017 s'intéresse à la perception des menaces. Toutes les industries verticales placent en tête du classement des menaces de cybercriminels notoires (44 %), suivis des hactivistes (17 %), des cyberterroristes (15 %) et des États-nations (12 %). S'agissant des menaces internes, 58 % des répondants considèrent les utilisateurs possédant des privilèges d'accès comme les initiés les plus dangereux (chiffre en légère baisse par rapport à l'an dernier, 63 %). Les dirigeants sont jugés (à 44 %) comme la deuxième catégorie d'initiés la plus risquée, suivis des collaborateurs (36 %) et des sous-traitants (33 %). 

Protéger les données contre les menaces futures 

À l'ère du déploiement du cloud et des solutions de service logiciels, ou SaaS (software-as-a-service), en entreprise, de plus en plus de données sont créées, transférées, traitées et stockées en dehors des limites du réseau de l'entreprise, rendant les contrôles de sécurité traditionnels (protection périmétrique, protection des réseaux et des points d'accès) de moins en moins pertinents. L’apparition de nouvelles technologies populaires s'accompagne de son lot de défis sécuritaires. Par exemple, près de 40 % des répondants utilisent des conteneurs de Docker1 pour leurs applications de production. Parallèlement, 47 % citent la sécurité comme « principale barrière » au déploiement plus large de cette technologie.  Pour inverser la tendance en matière de violations des données et tirer profit des innovations technologiques, les organisations ont tout intérêt à mettre en œuvre les pratiques suivantes, a minima : 

  • Capitaliser sur le cryptage et les contrôles d'accès comme premier niveau de protection des données et envisager d'appliquer une stratégie de cryptage intégral 
  • Choisir des plateformes de protection des données capables de gérer de nombreux cas d’usage et tournées vers la simplicité d'utilisation 
  • Mettre en œuvre des analyses de sécurité et des solutions d'authentification multi-facteurs pour identifier les schémas de menaces dans l'utilisation des données.

« Aujourd'hui, les entreprises sont inévitablement confrontées à un paysage de menaces de plus en plus complexes. Notre monde, qui intègre désormais le cloud, le big data ou encore l'Internet des Objets, nécessite des stratégies de sécurité informatique robustes qui protègent les données sous toutes leurs formes, lors de leur stockage, de leur transfert et de leur utilisation. Les entreprises doivent investir dans des mécanismes de protection dès la conception des systèmes – tels que le cryptage – pour protéger leurs données sensibles et leurs éléments de propriété intellectuelle.  Thales, en tant que partenaire de confiance, accompagne les entreprises dans la mise en œuvre de leur stratégie de sécurité » souligne Marc Darmon, Directeur général adjoint de Thales, systèmes d’information et de communication sécurisés 


PrécédentAccueilSuivantPartager