IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La plupart des PDG sont dans l'ignorance des attaques informatiques essuyées par leurs sociétés


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 359
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 359
    Points : 195 971
    Points
    195 971
    Par défaut La plupart des PDG sont dans l'ignorance des attaques informatiques essuyées par leurs sociétés
    La plupart des PDG sont dans l'ignorance des attaques informatiques essuyées par leurs sociétés,
    d'après une étude de la Ponemon Institute

    Les cyberattaques continuent de croître en nombre et en complexité. Pourtant, la grande majorité des responsables en entreprises semblent encore vraisemblablement ignorer la vulnérabilité de leurs réseaux et données.

    A la demande de Lancope, l'institut de recherche Ponemon a mené une enquête auprès de 674 professionnels des TIC et de la sécurité aux États-Unis et au Royaume-Uni qui sont impliqués dans les activités de CSIRT (centre d'alerte et de réaction aux attaques informatiques) de leur organisation. L'étude conclut par des recommandations clés pour les organisations qui cherchent à améliorer leur processus de réponse aux incidents. Voici les principales conclusions de l'étude :

    -68% du panel explique que leur organisation a connu une violation de la sécurité ou un incident dans les 24 derniers mois. 46% dit qu'un autre incident est imminent et pourrait se produire dans les six prochains mois.

    -88% du panel a indiqué ne pas communiquer pas régulièrement avec la direction générale sur les potentielles cyber-attaques potentielles contre leur organisation.

    -50% des répondants n'ont pas adopté des mesures opérationnelles significatives pour mesurer l'efficacité globale de la réponse aux incidents.

    -Alors que la plupart des organisations ont dit qu'elles pouvaient identifier un incident de sécurité dans un espace de quelques heures, il faut tout un mois, en moyenne, pour effectuer un processus d'enquête sur les incidents, le rétablissement du service et de la vérification.



    - Le panel estime que moins de 10% de leurs budgets de sécurité sont utilisés pour les activités de réponse aux incidents, et la plupart disent que leurs budgets de réponse aux incidents n'ont pas augmenté au cours des 24 derniers mois.


    - 80% des répondants affirment que l'analyse des pistes de vérification à partir de sources comme NetFlow et des paquets capture est l'approche la plus efficace pour détecter les incidents et violations de sécurité. Ce choix a été plus populaire que les systèmes de détection d'intrusion et un logiciel anti-virus.

    «Notre recherche indique que les organisations ne communiquent pas avec les chefs d'entreprise sur les menaces de sécurité informatique», a conclu le rapport. «Que ce soit parce qu'ils ont peur d'admettre les réalités des personnes pour lesquelles ils travaillent, ou parce qu'ils ne savent pas comment articuler ces réalités en dollars et en cents termes qui sont pertinents pour les décideurs d'entreprise, les conséquences sont les mêmes».

    Source : Document (au format PDF)

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2006
    Messages
    5 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Décembre 2006
    Messages : 5 239
    Points : 19 100
    Points
    19 100
    Billets dans le blog
    17
    Par défaut
    Beaucoup trop d'entreprise ne pense pas du tout à la sécurité.
    Combien font auditer leurs sites web, même chose pour leur infrastructure.
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  3. #3
    Expert éminent
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    Février 2005
    Messages
    3 486
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : Février 2005
    Messages : 3 486
    Points : 6 027
    Points
    6 027
    Par défaut
    Normal.
    Il y a paramètre à prendre en compte.

    - Une entreprise ne veut pas investir sur une chose dont elle n'est pas confronté directement. Elle a tendance à attendre d'avoir un problème pour réagir.

    - Le PDG n'est pas informé réellement de ce problème parce que ses subordonnés n'osent pas en parler de peur de se faire saquer. "Tout va bien nous avons une équipe qui maîtrise, nous sommes sur le sujet".
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  4. #4
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 532
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 532
    Points : 3 880
    Points
    3 880
    Par défaut
    j'ai cru lire "la pokemon institute"

  5. #5
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    -68% du panel explique que leur organisation a connu une violation de la sécurité ou un incident dans les 24 derniers mois. 46% dit qu'un autre incident est imminent et pourrait se produire dans les six prochains mois.
    En 24 mois, il est fort probable d'avoir eu au moins une attaque de virus sur un poste de l'entreprise ou une tentative de connexion en root sur un serveur linux...

    Citation Envoyé par imikado
    Beaucoup trop d'entreprise ne pense pas du tout à la sécurité.
    Combien font auditer leurs sites web, même chose pour leur infrastructure.
    On peut tester soi-même son site web, c'est même conseiller entre deux audits.

  6. #6
    Membre éprouvé
    Homme Profil pro
    -
    Inscrit en
    Octobre 2011
    Messages
    344
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : -

    Informations forums :
    Inscription : Octobre 2011
    Messages : 344
    Points : 1 235
    Points
    1 235
    Par défaut
    Citation Envoyé par imikado Voir le message
    Beaucoup trop d'entreprise ne pense pas du tout à la sécurité.
    Combien font auditer leurs sites web, même chose pour leur infrastructure.
    C'est vrai.
    Mais j'ai aussi l'impression que trop de news parlent de sécurité. C'est comme toutes ces news sur la criminalité qui amène une vraie paranoïa et font que les gens veulent du sur-flicage. Finalement le point le plus faible de la sécurité de beaucoup de ces entreprises reste les secrétaires mal payées…

  7. #7
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2006
    Messages
    5 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Décembre 2006
    Messages : 5 239
    Points : 19 100
    Points
    19 100
    Billets dans le blog
    17
    Par défaut
    Citation Envoyé par valkirys Voir le message
    On peut tester soi-même son site web, c'est même conseiller entre deux audits.
    On peut aussi, mais auditer un site c'est un métier: on va peut être tester 2-3 failles xss, mais passer à coté de certaines failles xsrf/null byte...

    Citation Envoyé par laerne Voir le message
    C'est vrai.
    Mais j'ai aussi l'impression que trop de news parlent de sécurité. C'est comme toutes ces news sur la criminalité qui amène une vraie paranoïa et font que les gens veulent du sur-flicage. Finalement le point le plus faible de la sécurité de beaucoup de ces entreprises reste les secrétaires mal payées…
    Sauf qu'ici ce n'est pas de la paranoia mais un constat: beaucoup trop de sites ont des failles xss/xsrf qui peuvent soit s'avérer dangereuse pour le site, soit permettre d'utiliser une faille sur un autre site (xsrf)
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  8. #8
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut Quizz du ROI de la sécurité
    Comme le souligne l'article :
    "ils ne savent pas comment articuler ces réalités en dollars et en cents termes qui sont pertinents pour les décideurs d'entreprise"
    Le ROI de la sécurité est nul voir négatif
    Les experts en sécurité sont des profils coûteux
    Cripter, c'est facile mais ça implique du temps machine pour coder / décoder et de ce fait, investir dans des serveurs plus puissant
    De même, mettre place les protocoles de sécurité prend du temps aux développeurs et ce temps n'est pas pris pour les sujets à fort ROI...

    La sécurité en informatique, c'est comme les alarmes de voiture : tant qu'on ne s'est pas fait voler sa voiture, on n'en voit pas l'intérêt

  9. #9
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2006
    Messages
    5 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Décembre 2006
    Messages : 5 239
    Points : 19 100
    Points
    19 100
    Billets dans le blog
    17
    Par défaut
    Citation Envoyé par Saverok Voir le message
    La sécurité en informatique, c'est comme les alarmes de voiture : tant qu'on ne s'est pas fait voler sa voiture, on n'en voit pas l'intérêt
    C'est plus comme mettre une serrure "un peu complexe" à sa porte : on peut ne pas mettre de serrure ou une serrure très légère: tant que personne ne voudra rentrer on aura pas de problème, mais le jour où une personne s'interesse à votre appartement il va arriver a entrer plus ou moins facilement

    Un exemple simple : une boutique e-commerce comme amazon, cdiscount and co doivent bien penser que la sécurité de leur site web est aussi importante que leur image: si du jour au lendemain, un pirate met n'importe quoi sur la page d'accueil ou pire: plus silencieux, redirige les formulaires de paiement vers son site en mode "phising"...

    Pour information, un site liste des sites exposés à des failles xss: http://www.xssed.com/archive/special=1/
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  10. #10
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par Saverok Voir le message
    Le ROI de la sécurité est nul voir négatif
    Les experts en sécurité sont des profils coûteux
    Sûr de ça ?

    Le problème de la sécurité des SI, c'est que trop souvent, c'est en mode réactif. Et le post qui a lancé ce fil le résume bien, notamment ces statistiques :

    -88% du panel a indiqué ne pas communiquer pas régulièrement avec la direction générale sur les potentielles cyber-attaques potentielles contre leur organisation.

    -50% des répondants n'ont pas adopté des mesures opérationnelles significatives pour mesurer l'efficacité globale de la réponse aux incidents.
    Quand tu écris que les experts Sécu sont des profils coûteux, ça veut simplement dire que c'est maintenant devenu un métier à part entière, et que c'est la seule façon de traiter la sécu d'un point de vue proactif.

    J'ai peut-être mal compris ce que tu as voulu dire par "ROI nul", mais quand une boîte est obligée de fermer ses portes pour violation de propriété intellectuelle ou vol de données informatiques dû à un manque de sécurité, on s'approche plus de l'infini que du zéro

    Si un serveur critique d'une banque est immobilisé à cause d'une attaque DDOS, tu peux me croire, généralement on sait combien de millions d'euros peut coûter l'heure d'interruption de flux financiers. Et je te parle pas des réseaux "high frequency" utilisés par les traders de cette même banque...

    Autre point évoqué dans cette enquête :
    Que ce soit parce qu'ils ont peur d'admettre les réalités des personnes pour lesquelles ils travaillent
    Les audits sécurité demandent beaucoup de tact et beaucoup de diplomatie... Parce que ça a tendance à mettre certaines personnes sous le spot. Perso, j'ai déjà vu le cas d'audits sécurité déclenchés uniquement pour "mettre le Q de certaines personnes dans une poële à frire"... Enfin, vous voyez ce que je veux dire

    Encore une fois, vue la complexité grandissante des technos et la créativité sans limite des attaquants, la sécu, c'est un véritable métier...

    Steph

  11. #11
    Expert éminent
    Avatar de Emily Prevost
    Femme Profil pro
    Administrateur de base de données
    Inscrit en
    Février 2012
    Messages
    29
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Février 2012
    Messages : 29
    Points : 6 499
    Points
    6 499
    Par défaut Non maturité des entreprises
    Les entreprises actuellement n'ont pas une certaine maturité pour le domaine de la sécurité, personnellement je vois que le problème ne doit pas être affecté à une personne précise, mais il faut surtout comprendre que le problème principal qui se pose concerne la communication entre la DSI et la DG est donc on remarque que dans un premier lieu la DSI traite les informations avec le DG d'une façon trop technique ce qui ne sera pas forcément compréhensible à 100% pour le PDG. de l'entreprise, dans un deuxième cadre cette direction doit mettre en conscience bien sûr chaque employé de l'entreprise et surtout le PDG. d'une façon qui le poussera à comprendre que dans le cas d'une attaque ou d'une perte d'information==> voila la gravité et le dommage qui sera présent!
    en matière de coût, image de l'entreprise...
    Donc c'est un travail collaboratif et surtout s'il y a un RSSI, il doit mettre en place une politique de sécurité globale que chaque personne issue de l'entreprise doit appliquer avec une approbation du top management.
    Sinon la gestion des incidents doit être faite en parallèle, parce que la sécurité ne doit pas être mesurée d'une façon mensuelle ou annuelle mais c'est une veille qui doit être prise en compte quotidiennement.
    Responsable Téléchargements

Discussions similaires

  1. Réponses: 2
    Dernier message: 10/11/2013, 22h00
  2. Réponses: 3
    Dernier message: 07/04/2010, 19h27
  3. Ignorer des valeurs vides dans un graphe
    Par Dazdh dans le forum Excel
    Réponses: 3
    Dernier message: 18/08/2009, 16h02
  4. Réponses: 2
    Dernier message: 03/06/2008, 16h40

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo