octobre 15th, 2019

Encore une publication d’une société d’assurance, Marsh, mais accompagnée cette fois d’un poids lourd des NTIC, Microsoft. Un mariage qui donne naissance au « 2019 Global Cyber Risk Perception Survey ». Analyse qui montre à quel point la sécurité est un échec choisi. Car si 80% des grandes organisations et entreprises (échantillonnage de 1500 entités) classent les risques numériques dans le top 5 des risques encourus, seuls 11% des dirigeants se considèrent capables de détecter, de prévenir et de répondre avec efficacité à une cyberattaque. Jusque là, ce serait plutôt une preuve d’objectivité : « nous connaissons l’importance du risque, notre modestie nous pousse à minimiser notre résilience effective » pourrait-on résumer ces métriques.

Mais la suite du rapport est moins optimiste. 65 % des personnes interrogées affirment appartenir soit au conseil d’administration, soit faire partie des responsables exécutifs. Et malgré ce niveau de décision, 17% d’entre eux avouent n’avoir consacré que « quelques jours » sur cette question au cours de l’année passée, et 51% « quelques heures ou moins encore ».
De même, 88% des entreprises ont avoué que leurs équipes DSI/Informatique opérationnelle et/ou SSI géraient la partie « cyber-risques », mais près du tiers (30%) des informaticiens interrogés ont déclaré n’avoir passé que quelques jours ou moins sur ce sujet.

La course à la modernité et au profit pousse ces mêmes responsables à adopter de « nouvelles technologies ». Avec leurs bugs de jeunesse et leurs instabilités. Mais la moitié des interviewés affirment que le risque cyber ne pèse rien dans le processus d’adoption d’une nouvelle technique. Et bien que les 3/4 des personnes sondées affirment réaliser une évaluation des risques avant adoption, seuls 5% du panel poussent cette analyse tout au long du cycle de vie de la technologie en question. Et 11% ne font strictement aucune analyse préalable…

Hiscox, compagnie d’assurance cotée à Londres mais siégeant aux Bermudes, offre un outil de simulation des risques financiers en cas de sinistre informatique. Selon 4 profils très schématiques (TPE, gestionnaire de risques, courtier et haut dirigeant), le choix de quelques critères sectoriels et des estimations de résilience numérique fournies par l’usager, ce calculateur donne un montant des pertes estimées, simple reflet statistique du quotidien de la cyberdélinquance, très éloigné des « cas particuliers » de chacun. Outil plus anxiogène donc qu’une véritable analyse financière des risques, mais peut-être utile pour justifier d’une rallonge de budget ou du déblocage d’un projet sécu.

« Mises à jour, mots de passe, sauvegardes ». Un mois durant, sous le patronage de l’ANSSI, les principaux acteurs de la SSI (ONG, entreprises, associations professionnelles, CCI…) entameront ce mantra, tout en organisant manifestations et colloques, conférences et réunions d’information/sensibilisation. Le tout illustré, parfois avec humour, par les œuvres de Fix.

« Mises à jour, mots de passe, sauvegardes » vise en priorité (si l’on en juge par les articles web associés) les jeunes usagers du réseau de téléphonie mobile, tandis que les colloques et conférences s’attachent plus à l’informatique traditionnelle et aux secteurs professionnels, grâce aux efforts des Clusir et Clusif, des chambres de commerce, de l’Anssi lui-même, et de quelques initiatives péri-universitaires telle que les ateliers et présentations orchestrés par l’Imag (Informatique et Mathématiques Appliquées de Grenoble).

NdlCorrectrice : Un « mois de la cybersécurité » « coup de poing » c’est bien mais loin d’être suffisant. Sensibiliser en mode continu est préférable, si possible dès le plus jeune âge et dans un cadre scolaire, dès lors que l’outil numérique, la téléphonie mobile et l’objet connecté y sont déjà présents.