La cybercriminalité serait largement sous-déclarée

Bien que les vecteurs des attaques soient largement les mêmes d’une année sur l’autre, le volume des attaques va augmenter et il est possible que la cybercriminalité soit largement sous-déclarée, d’après l’étude 2019 State of Cybersecurity de l’ISACA*..

« La sous-déclaration de la cybercriminalité—même lorsque la divulgation est légalement obligatoire—semble être la norme », a déclaré Greg Touhill, Brigadier Général (retraité), membre du conseil d’administration de l’ISACA, président de Cyxtera Federal et premier Chef de la sécurité informatique (CSI) fédéral des États-Unis. « La moitié de toutes les personnes interrogées considèrent que la plupart des entreprises sous-déclarent la cybercriminalité, même lorsque cela est obligatoire. »

Également inquiétant, seulement 34 % des responsables de la cybersécurité sont très confiants en la capacité de leur équipe de cybersécurité de détecter et de répondre aux menaces de cybercriminalité. Les niveaux de confiance les plus élevés se corrèlent avec les équipes qui rendent directement compte au CSI, et les niveaux les plus bas se corrèlent avec les équipes qui rendent compte au directeur des systèmes d’information. Quarante-trois pour cent des personnes interrogées disent que leurs équipes rendent compte à un CSI, et 27% rendent compte à un directeur des systèmes d’information.

La gouvernance, fondamentale

« Ce que nous pouvons conclure de l’étude de cette année est que la gouvernance dicte le niveau de confiance dans la cybersécurité », a ajouté Frank Downs, directeur des pratiques de cybersécurité de l’ISACA.

Ces résultats indiquent une certaine confusion quand il s’agit de structurer la cybersécurité avec les technologies de l’information. L’étude State of Cybersecurity de l’ISACA, commanditée par HCL, saisit les perspectives de plus de 1 500 personnes qui définissent le domaine à l’échelle mondiale.

D’après ce rapport, publié fin mai dans le cadre d’Infosecurity Europe, les trois principaux vecteurs de menace demeurent les cybercriminels, les pirates informatiques et les initiés non malicieux. Le hameçonnage, le maliciel et l’ingénierie sociale sont les types d’attaques les plus fréquentes pour la troisième année consécutive. Le rançongiciel a baissé de manière significative ; 37% des entreprises ont signalé avoir fait l’objet de rançongiciel dans l’étude de l’année dernière, par rapport à 20% cette année. Un peu moins de la moitié des entreprises signalent une augmentation des attaques de cybersécurité cette année, et 79% pensent qu’elles risquent de subir une cyberattaque l’année prochaine.

Approche statique

« La cybersécurité souffre d’une approche cloisonnée et statique », a déclaré Renju Varghese, membre et architecte en chef, CyberSecurity & GRC, chez HCL Technologies Ltd. « De nombreuses équipes manquent des attaques significatives car leur taille ou leur expertise n’est pas suffisante pour être à la hauteur des attaquants. De plus, leurs outils de sécurité et leurs processus existants sont séparés et fonctionnent rarement en tandem. »

Toutefois, en analysant soigneusement les variables contribuant à la susceptibilité aux incidents et à l’inefficacité des équipes—y compris la structure de cyber reportage, les méthodes d’attaque courantes et l’état de préparation des équipes via une culture d’éducation professionnelle continue—les entreprises peuvent mieux se préparer aux dangers que présentent les cyber mécréants, explique M. Downs.

__

(*) L’étude State of Cybersecurity de l’ISACA https://www.isaca.org/info/state-of-cybersecurity-2019/index.html