86% des RSSI estiment que leurs SI ne répondent pas aux besoins en cybersécurité

42% des RSSI déplorent l'absence d'une stratégie cybersécurité

Dans sa dernière étude « Global Information Security Survey » 2016, le cabinet E&Y indique que 44% des entreprises ne disposent pas d'un centre de supervision ou de gestion des événements de sécurité. Face aux cybermenaces complexes, tout sont loin d'être en mesure d'y répondre efficacement.

EY (anciennement Ernst & Young) publie son étude annuelle « Global Information Security Survey ». Réalisé entre juin et août 2016, auprès d'un panel de 1 735 répondants de plus de 20 secteurs d'activités, elle met en lumière à la fois des éléments inquiétants et d'autres qui montrent une meilleure sensibilité des entreprises aux cybermenaces.

D'abord, 86% des responsables interrogés estiment que leur système d'information ne répond pas complètement aux besoins de leur entreprise en matière de cybersécurité. Ils sont 64% à estimer ne pas disposer d'un programme interne de renseignement sur les cybermenaces, ou alors, il n'est qu'informel. Plus de la moitié d'entre eux, 55%, n'en a pas les moyens. Dans 42% des cas, ils déplorent l'absence d'une stratégie ou d'un plan de communication établi en cas d'attaque significative. Chiffre voisin, 44% ne disposent pas de centre de supervision ou de gestion des événements et incidents de sécurité.

Une meilleure détection des attaques



Plusieurs chiffres plaident en sens inverse. Un répondant sur deux déclare être en mesure de détecter une cyberattaque complexe. C'est le niveau de confiance le plus élevé observé dans cette étude depuis 2013. Si 57% des répondants considèrent la poursuite des opérations et la reprise après un sinistre comme une priorité élevée, seulement 39% prévoient d'investir davantage dans les prochains mois. Et 50% des responsables interrogés ont pensé qu'il était probable qu'ils seraient en mesure de prédire et de détecter une cyberattaque sophistiquée. C'est le niveau de confiance le plus élevé observé depuis 2013.

Les entreprises aiment à se fier à elles-mêmes pour tester ou gérer leur cybersécurité, 79% d'entre elles organisent leur propre protection contre le hameçonnage, 64% effectuent leurs propres tests de pénétration, 81% leur enquête sur les incidents et 83% font leur propre analyse des menaces. Leurs budgets augmentent observe l'étude, mais pas suffisamment. 61% des responsables interrogés citent les contraintes budgétaires comme étant un défi et 69% des répondants estiment avoir besoin de budgets supplémentaires.