Les employés, les fournisseurs de services et les responsables des organismes ou entreprises sont à l’origine de grands risques pour la sécurité aux réseaux.
Alors que le nombre d’attaques de cybercriminels et les préjudices financiers qui leur sont associés continuent d’augmenter, les capacités de cyber sécurité de la plupart des organismes ou entreprises n’ont pas pu encore rivaliser avec la persistance, la compétence et la sophistication des cybercriminels.
Selon une étude récente, seulement 38% des organismes ou entreprises ont affirmé avoir une méthodologie et savoir pour prioriser les investissements en matière de sécurité en fonction du risque et de l’impact sur la gestion et les affaires.
Le rapport révèle trois principales conclusions générales en ce qui concerne l’inadéquation des politiques de sécurité et leur mise en œuvre :
1. La plupart des organismes ou entreprises n’arrivent pas encore à faire face à la vulnérabilité que représente la menace interne (Insiders) ;
2. Les organismes ou entreprises n’évaluent pas le risque sécuritaire que représente les fournisseurs de services, de solutions ou d’équipements ;
3. L’échec continu à l’échelle de plusieurs organismes ou entreprises à investir suffisamment dans la cyber sécurité et à l’intégrer dans leur stratégie globale ;
Huit questions de cyber sécurité qui concernent les entreprises sont illustrées dans l’infographie innovante ci-dessous:
1. La réalisation de dépenses qui ne sont pas alignées avec une stratégie n’est pas normal. La stratégie doit être liée à des objectifs d’affaires avec une répartition des ressources dédiées aux risques ;
2. L’absence de contrôle sécuritaire des partenaires commerciaux et fournisseurs y compris ceux étrangers. De récentes et très préjudiciables intrusions dans des réseaux ont prouvé que les cyber criminels ont réussi ces intrusions via des partenaires commerciaux et fournisseurs.
3. La quantité de données sensibles rendues accessibles aux partenaires commerciaux et fournisseurs par les organismes ou entreprises continue d’augmenter. Ces derniers ne semblent pas tenus de se conformer aux politiques de confidentialité et de sécurité ;
4. La prise en charge du risque lié à l’utilisation des équipements mobiles est trop lente. En d’autres termes, les technologies mobiles et les risques se multiplient, mais les efforts de sécurisation ne suivent pas ;
5. L’absence d’évaluation régulière de la menace constitue un risque majeur. Les entreprises sont conscientes, comprennent les menaces et les inclus dans les programmes de gestion des risques mais elles ne réévaluent pas régulièrement ces menaces ;
6. La neutralisation d’une activité cybercriminelle exige un travail d’équipe. La coopération entre entreprises est essentielle pour comprendre les menaces actuelles et pour améliorer la cyber sécurité. Malheureusement il y a une absence de coopération et concertation ;
7. Le comportement suspect des employés n’est pas pris en charge sérieusement. Les incidents de cyber sécurité dus aux employés ou menace interne (Insiders) ont un impact sérieux, mais ne sont pas traités avec la même rigueur que les menaces externes, comme celles des hackers ;
8. Les employés non formés et non sensibilisés sur la cyber menace provoquent des préjudices importants dont ceux financiers. Les vulnérabilités du personnel sont bien connues, mais les employés ne bénéficient même pas d’une formation de sensibilisation sur la cybermenace.
