56 % des professionnels de la sécurité informatique admettent que leurs infrastructures présentent des lacunes

56 % des professionnels de la sécurité informatique admettent que leurs infrastructures présentent des lacunes,
selon une étude de Ponemon Institute

Dans un rapport basé sur des recherches effectuées par le Ponemon Institute et publié par AttackIQ, des chercheurs révèlent que 56 % des professionnels de la sécurité informatique reconnaissent que leur système de sécurité présente des lacunes et 63 % évoquent un manque de communication entre les responsables de sécurité informatique et la direction de l'entreprise. Fondé en 2002 par Larry Ponemon et Susan Jayson, le Ponemon Institute mène des recherches sur la protection des données et les nouvelles technologies de l'information.

L’enquête menée par l’organisation mère du Responsible Management (RIM) Council dont les membres sont des défenseurs de la confidentialité et de la protection des données dans leurs organisations a porté sur une population d’environ 570 personnes spécialisées en informatique. L'étude révèle que la plupart des entreprises n'utilisent pas des solutions automatisées pour déterminer les lacunes dans leur infrastructure et seules 41 % des personnes interrogées déclarent détenir des compétences pour déterminer efficacement les faiblesses en matière de sécurité informatique dans leur organisation. En outre, 53 % des experts informaticiens avouent qu'ils ne savent pas comment les outils de cybersécurité déployés dans leur environnement fonctionnent.

Pièce jointe 510222

Les entreprises dépensent en moyenne 18,4 millions de dollars par an en cybersécurité, mais les atteintes à la protection des données continuent d'augmenter. 70 % des personnes interrogées lors de cette enquête évoquent les raisons suivantes :

• la compétence des Hackers ;
• le manque de personnel qualifié en sécurité informatique ;
• la complexité et l'évolution des surfaces d'attaque.

En outre, seulement 25 % des personnes interrogées affirment que l'équipe de sécurité informatique est en mesure d'intervenir en cas d'incidents de sécurité dans un délai d'un jour. Alors que 40 % des personnes interrogées ont déclaré ne pas quantifier et suivre la posture de sécurité de l'entreprise, 63 % déclarent que leur département de sécurité informatique a besoin de plus d'outils de contrôle pour améliorer la capacité à communiquer efficacement avec la hiérarchie de l'entreprise. Même parmi ceux qui ont un programme abouti, seuls 39 % rapportent les résultats aux chefs d'entreprise.

Pièce jointe 510230

« Les violations de données et autres incidents de sécurité continuent de nuire aux entreprises, il convient d'adopter une approche proactive pour assurer une sécurité renforcée », a déclaré Brett Galloway, PDG d'AttackIQ. « Grâce à cette étude, nous savons que près de la moitié des entreprises ne quantifient pas et ne suivent pas leur posture de sécurité informatique. » Selon les conclusions du rapport, la complexité peut porter préjudice aux entreprises dans la prévention des violations de données. Les violations de données surviennent quelques fois à cause d'un manque de visibilité sur l'infrastructure de sécurité informatique. Seulement 35 % des personnes interrogées affirment avoir confiance aux dispositifs cloud et d’Internet des objets.

Pièce jointe 510302

Les prévisions annoncées par Ponemon Institute indiquent que la plupart des organisations augmenteront leur budget de sécurité informatique au cours des 12 prochains mois. Aussi, 58 % des personnes interrogées affirment que leurs organisations augmenteront leur budget de sécurité informatique de 14 % en moyenne. La plupart des fonds seront alloués à l'amélioration, à la gestion et à la maintenance des outils de détection des menaces.

Source : attackiq

Et vous ?

:fleche: Quel est votre avis sur le sujet ?

:fleche: Comment comprendre que malgré les investissements effectués par les entreprises, les atteintes à la protection des données continuent d'augmenter ?

:fleche: Quelles peuvent être selon vous les conséquences d'un manque de communication entre les responsables de la sécurité informatique et le top management de l’entreprise ?

Voir aussi :

:fleche: Les violations de données ont exposé 2,8 milliards d'informations personnelles en 2018, selon ForgeRock

:fleche: Vie privée : 64 % des organisations estiment avoir subi une attaque par accès privilégié, selon BeyondTrust

:fleche: Zanzibar : le système d'autorisation global et cohérent de Google, qui améliore l'exactitude et la fiabilité des contrôles d'accès

Le manque de compétences dans le monde promet de beaux jours aux pirates, tant étatiques que "maffieu". A cela s'ajoute un manque de stratégie du comité exécutif pour cibler les points névralgiques tel que le chiffrement, le réseau, l'authentification, les mises à jour, la politique de sécurité; auquel s'ajoute le manque de discipline des utilisateurs. SAFRAN s'est fait piller ses données par les chinois par l'attaque de malware sur clé USB (source ZDNet). On le voit aussi avec le piratage d'Airbus : les PME sont ciblées.

La politique des USA à travers la NSA pour défendre marque un changement assez radical de mentalité (source 01Net) dans les hautes sphères des Five Eyes.

Sinon excellente info, claire et concise, et surtout accessible à tous. J'espère que mon commentaire sera à la hauteur.:lol:

Bâtir un système protégé sans failles avec le moins de failles possible est toujours plus compliqué que tenter de passer à travers... ajoutons à cela de l'incompétence chez certains "spécialistes", et on obtient un % non-négligeable de systèmes passoires.