Discussion :

[Stéphane le calme]

Comment les entreprises gèrent-elles la recrudescence des activités cybercriminelles ?
Une étude apporte quelques statistiques y afférent

Les activités cybercriminelles ont fait couler beaucoup d’encre cette année aussi bien dans la presse généraliste que dans la presse spécialisée. Souvenons-nous par exemple du scandale relatif aux photos de célébrités nues volées suite à l’exploitation d’une faille dans leur espace iCloud, la plateforme d’hébergement Cloud d’Apple, ou encore la cyber attaque menée contre les serveurs d’Adobe qui a conduit à la compromission de près de 2,9 millions de comptes utilisateurs enregistrés pour ses différents services. Mais comment les entreprises gèrent-elles ?

Pas très bien, si l’on s’en tient aux résultats d’une enquête menée par CSOonline.com, un éditorial appartenant à IDG Entreprise qui propose des articles, des analyses mais également des recherches sur un large éventail de sujets de sécurité et de gestion des risques. Les résultats de l’enquête menée auprès de 500 cadres du secteur privé et public ainsi que des experts en sécurité ont été publié sous forme de graphique.

Selon les statistiques, 77% des entreprises ont signalé une violation dans leur sécurité au courant de l’année dernière, avec une moyenne de 135 incidents par entreprise. Pourtant, seulement 38% sont équipées d’un système de priorisation des dépenses de sécurité en fonction du risque et de l'impact sur l'entreprise. Notons que 34% du panel a remarqué une augmentation du nombre d’incidents de sécurité comparé à l’année dernière et que 69% du panel américain s’inquiète de l’impact des cybers menaces sur la croissance prévisionnelle de leurs affaires.

Parmi celles qui ont détecté un incident, 69% des entreprises ont affirmé ne pas être en mesure d'estimer le coût. Celles qui l’ont fait ont estimé la perte annuelle moyenne liées aux incidents cybernétiques à 415 000 dollars. Toutefois, 19% des entreprises américaines ont évalué les pertes sur une fourchette comprise 50 000 et 1 million de dollars.

Parmi les préoccupations majeures, nous pouvons noter que la plupart des organisations ne prennent pas une approche stratégique de la sécurité, les risques de la chaîne d'approvisionnement ne sont pas correctement évalués ou compris et en plus la sécurité au niveau de l'appareil mobile est insuffisante.

Le rapport constate que la lutte efficace contre la cybercriminalité nécessite une collaboration afin de partager l'expérience et la connaissance des menaces. Des dépenses stratégiques sont également nécessaires, en particulier sur la formation des employés en matière de sécurité.

Source : CSO

Et vous ?

Qu'en pensez-vous ?

[nchal]

Comment les entreprises gèrent-elles la recrudescence des activités cybercriminelles ?

Réponse : elle le gère pas et ça a pas trop l'air de les gêner plus que ça.

[Shuty]

Réponse : elle le gère pas et ça a pas trop l'air de les gêner plus que ça.

Humm... Je ne suis pas tout à fait de ton avis... Je dirais qu'elles essaient de les gérer mais qu'elles ni parviennent pas faute de moyens. Je suis d'accords que certaines sociétés peu scrupuleuses peuvent mettre la sécurité en arrière plan mais sur le fond, c'est très important d'avoir une infra sûre...

Admettons qu'appel se fasse dérobé le source code de son joli iPhone, je ne donne pas moins de 2 mois pour que l'iPhone 7 sorte en chine... Bref, ce n'est qu'un exemple parmi tant d'autre mais la sécurité à une importance extrême. D'autant plus qu'à chaque mauvais coup, c'est la confiance vers l'entreprise qui est remise en jeux...

[Saverok]

Par expérience, les entreprises se préoccupent réellement de la sécurité uniquement à la suite d'une attaque ou lorsqu'elles sont sous le coup d'une injonction de la CNIL
Sans cela, il ne reste que des paroles mais au final rien de concret car à partir du moment où il faut sortir des sous, il n'y a plus personne
Rien que d'y consacrer du temps en analyse a un coût en en jour/homme que les entreprises rechignent à payer alors de là à agir...

Même dans les cas où les entreprises consentent à investir dans la sécurité, il y a l'impératif que cela ne bousculent en rien les habitudes
En clair : il faut que cela reste transparent ce qui limite énormément le champ d'action

Ce comportement n'est pas très différent de celui des particuliers

Dans le cas du web, une majorité des internautes se disent très préoccupés par la sécurité
Par contre, dès que l'on veut mettre en place la double authentification, il y a tout le monde qui râlent

J'ai eu l'occasion de mettre en place le paiement en 2 étapes sur un site e-commerce et la chute du taux de conversion a été spectaculaire et on a dû l'enlever au bout de 4 jours (l'administrateur de la plateforme a été particulièrement courageux de patienter si longtemps pour voir s'il s'agissait juste d'un creux ou d'une tendance)

[nchal]

Ce comportement n'est pas très différent de celui des particuliers

Dans le cas du web, une majorité des internautes se disent très préoccupés par la sécurité
Par contre, dès que l'on veut mettre en place la double authentification, il y a tout le monde qui râlent

J'ai eu l'occasion de mettre en place le paiement en 2 étapes sur un site e-commerce et la chute du taux de conversion a été spectaculaire et on a dû l'enlever au bout de 4 jours (l'administrateur de la plateforme a été particulièrement courageux de patienter si longtemps pour voir s'il s'agissait juste d'un creux ou d'une tendance)

Complètement d'accord, les gens veulent de la sécurité et de la rapidité et du confort. Ce n'est pas possible, il faut faire des concessions...
Maintenant, ma CB a automatiquement l'option "paiement sans contact" même si je n'en veux pas... Si je perd ma carte, on pourra me voler de l'argent sans avoir mon code tant que je n'aurais pas fait opposition.

[Freddy-Z]

Elles le gèrent très mal parce que 'ça coûte'..

"Un expert sécurité en entreprise, c'est pas vraiment nécessaire et faut le payer. En plus, il va nous faire ch... avec des conseils qu'on pourra pas appliquer.. ou ça va ralentir le boulot.. On a une DSI, ils savent ce qu'ils font.."

Cet expert doit (devrait?) être au courant de tous les flux d'informations dans et hors de l'entreprise, donc il a accès à pas mal de données essentielles.. En gros, il connait tout de l'E. Et ça, c'est mal vu..

Note: paiement en 2 étapes: je n'ai pas de mobile/portable/smartphone.. je fais comment?.. Pour un achat d'impulsion, les contrôles, ça refroidit les gens..

[Saverok]

Maintenant, ma CB a automatiquement l'option "paiement sans contact" même si je n'en veux pas... Si je perd ma carte, on pourra me voler de l'argent sans avoir mon code tant que je n'aurais pas fait opposition.

Ma banque me l'a imposé aussi au renouvellement de ma carte et le pire, sans m'en avertir.
Pas le moindre courrier ni la moindre signature d'un consentement quelconque.

Je m'en suis rendu compte par hasard quand un commerçant me l'a proposé et m'a fait remarqué le logo sur la carte auquel je n'avais jamais fait attention (ma précédente carte ne l'ayant pas, je n'avais pas pensé à vérifier cela lors du renouvellement).

Je suis allé porté réclamation à ma banque qui m'a remplacé ma carte par une nouvelle sans NFC cette fois-ci.
Cette demande est gratuite et obligatoire pour les banques.
N'hésite donc pas à en faire la demande si tu le souhaites.

De plus, j'ai même pu négocier une ristourne sur le prix de ma carte prétextant que n'ayant pas le NFC, il est normal qu'elle me coûte moins cher que la carte avec NFC.
Nous seulement je me suis débarrassé de cette merde mais j'ai en plus fait quelques économies
C'est suffisamment rare pour le signaler et vous le recommander.

[NSKis]

"Selon les statistiques, 77% des entreprises ont signalé une violation dans leur sécurité au courant de l’année dernière..." ou comment faire dire n'importe quoi aux chiffres!!!

77% de quelles entreprises???

Sachant qu'en Europe la très grande majorité des entreprises sont des PME qui n'ont même pas un service informatique à plein temps mais qui font appel EPISODIQUEMENT à une ressource info, je vois mal comment 77% des entreprises pourraient avoir signalé une violation... Avant de la signaler, il faudrait peut-être l'avoir détectée

[Saverok]

"Selon les statistiques, 77% des entreprises ont signalé une violation dans leur sécurité au courant de l’année dernière..." ou comment faire dire n'importe quoi aux chiffres!!!

77% de quelles entreprises???

Sachant qu'en Europe la très grande majorité des entreprises sont des PME qui n'ont même pas un service informatique à plein temps mais qui font appel EPISODIQUEMENT à une ressource info, je vois mal comment 77% des entreprises pourraient avoir signalé une violation... Avant de la signaler, il faudrait peut-être l'avoir détectée

Il faut lire l'article en entier et pas en diagonal car c'est écrit juste au dessus :

[..]si l’on s’en tient aux résultats d’une enquête menée par CSOonline.com, un éditorial appartenant à IDG Entreprise qui propose des articles, des analyses mais également des recherches sur un large éventail de sujets de sécurité et de gestion des risques. Les résultats de l’enquête menée auprès de 500 cadres du secteur privé et public ainsi que des experts en sécurité ont été publié sous forme de graphique.

Selon les statistiques, 77% des entreprises ont signalé une violation dans leur sécurité au courant de l’année dernière,
[...]

Autrement dit, c'est 77% des entreprises parmi celles interrogées
Je te concède qu'on ne sait pas précisément ce chiffre même s'il est forcément inférieur à 500 et que la formulation est pas très précise.

On peut parfaitement comprendre que cette étude ne peut pas communiquer la liste de ces entreprises pour des raisons évidentes de confidentialité.

Comme tjrs, on peut tout faire dire à une phrase lorsqu'elle est sortie de son contexte.

[NSKis]

Il faut lire l'article en entier et pas en diagonal car c'est écrit juste au dessus :


Autrement dit, c'est 77% des entreprises parmi celles interrogées
Je te concède qu'on ne sait pas précisément ce chiffre même s'il est forcément inférieur à 500 et que la formulation est pas très précise.

On peut parfaitement comprendre que cette étude ne peut pas communiquer la liste de ces entreprises pour des raisons évidentes de confidentialité.

Comme tjrs, on peut tout faire dire à une phrase lorsqu'elle est sortie de son contexte.

Donc, je confirme: On fait dire n'importe quoi aux chiffres!!! Ils ont interrogé 500 experts en sécurité donc un panel de sociétés TOTALEMENT non-représentatif de l'économie. La grande majorité des sociétés n'ont pas un expert en sécurité informatique.

Ce qui faut lire: Sur 500 grosses sociétés américaines, 77% d'entre-elles...

[Saverok]

Donc, je confirme: On fait dire n'importe quoi aux chiffres!!! Ils ont interrogé 500 experts en sécurité donc un panel de sociétés TOTALEMENT non-représentatif de l'économie. La grande majorité des sociétés n'ont pas un expert en sécurité informatique.

Ce qui faut lire: Sur 500 grosses sociétés américaines, 77% d'entre-elles...

Reformuler comme ça, je plussoie

[sinople]

Comment les entreprises gèrent-elles la recrudescence des activités cybercriminelles ?

En installant le pare-feu d'OpenOffice ?

Plus sérieusement, la sécurité ça coûte et le gain n'est pas visible (C'est déjà assez flou de chiffre le dommage d'une attaque informatique, alors si en plus elle n'a pas lieu...).

La plupart du temps les investissement sont réalisés dans ce secteur parce qu'il y a une contrainte impérative (imposée par une loi (l'état), la certification d'une norme (imposé par un client)). Ceci n'est pas spécifique à l'informatique, si vous avez des extincteurs et des chemins de fuite en cas d'incendie, c'est probablement pas parce que votre patron est philanthrope.

Après on demande pas une PME d'avoir sa propre centrale d'engagement de pompier (contrairement à certains complexe petrochimique).

[Saverok]

En installant le pare-feu d'OpenOffice ?

Plus sérieusement, la sécurité ça coûte et le gain n'est pas visible (C'est déjà assez flou de chiffre le dommage d'une attaque informatique, alors si en plus elle n'a pas lieu...).

La plupart du temps les investissement sont réalisés dans ce secteur parce qu'il y a une contrainte impérative (imposée par une loi (l'état), la certification d'une norme (imposé par un client)). Ceci n'est pas spécifique à l'informatique, si vous avez des extincteurs et des chemins de fuite en cas d'incendie, c'est probablement pas parce que votre patron est philanthrope.

Après on demande pas une PME d'avoir sa propre centrale d'engagement de pompier (contrairement à certains complexe petrochimique).

Je partage ton avis et en même temps, je pense que les entreprises n'ont pas conscience de la valeur et de la criticité de leurs données
L'aspect "virtuel" par le numérique y est sans doute pour beaucoup

Un commerce qui gère beaucoup d'argent liquide investit de lui même dans un coffre fort
Pas besoin d'une contrainte car le commerçant connait la valeur
De même que mettre une alarme dans son magasin et sa réserve.
Cela peut parfois être imposé par l'assurance mais même sans cela, le commerçant te dira que ça tombe sous le sens et s'y plie sans discuter.

Dès que c'est numérique, bizarrement, ce n'est plus pareil et ça, c'est inquiétant car parmis ces données, il y a les fichiers clients qui contiennent des données privées de millions personnes et les entreprises n'ont aucun respect pour cela
On a un peu l'impression que "tant que l'intégrité des données est maintenu, ce n'est pas trop grave si elles se diffusent"
Et dans ce cas, les contrôles et amendes de la CNIL sont très clairement insuffisantes