Noyé dans le flot des études de fin d’année, cette analyse du cabinet EY intitulée Cybersecurity regained : preparing to face cyber-attacks.
Mais ladite étude ne prétend pas dresser un tableau du champ de bataille de la SSI. Elle se penche surtout sur l’avis, le ressenti de responsables et de cadres d’entreprise qui ne sont pas nécessairement des spécialistes de la question. Or, il ne peut y avoir de bonne SSI sans une certaine compréhension de la vision qu’en ont les dirigeants, qu’ils soient à la tête d’une PME ou d’une multinationale.
Peu de surprise donc lorsqu’une grande partie du risque perçu (60%) est attribuée à des « careless or unaware employees ». L’erreur humaine n’est d’ailleurs pas très bien définie. S’agit-il d’une mauvaise politique de sécurité ou de l’usage abusif de ressources non protégées (ainsi Deloitte, Uber) ou est-ce un retour en force du sentiment de défiance envers les employés n’appartenant pas à l’infrastructure du S.I. l (fuites d’information involontaires par exemple, ou lanceurs d’alerte). Paradoxalement, le risque lié aux accès non autorisés est en perte de vitesse comparativement aux années précédentes (37%en 2017, 44% l’an passé), alors que les principales « grandes affaires de hack » ont été, ces 300 derniers jours, directement liées à des accès extérieurs particulièrement non autorisés.
Lorsqu’auprès de la population interrogée, l’on aborde la question de la menace, toute cohérence des propos disparaît. Ex-aequo, dans 64% des craintes, viennent le phishing et… les malwares. Les attaques internes arrivent loin derrière, citées dans seulement 25% des cas. Les notions entre risques et menaces sont donc clairement comprises. D’un côté la crainte fantasmatique, de l’autre la réalité des agressions quotidiennes.
Deux chiffres, cependant, viennent contrebalancer cette vision simpliste de la sécurité numérique : 17 et 89. 17% c’est la (très faible) proportion des comités de direction qui estiment posséder une certaine connaissance en matière de cybersécurité ou ayant une appréhension assez précise du risque cyber. 89 % estiment que leurs fonctions/dotations en cybersécurité ne correspond pas aux besoins de l’entreprise. En d’autres termes « effectivement, on n’y comprend pas grand-chose, et oui, nous sommes démunis ». C’est là peut-être le premier pas vers une véritable écoute des RSSI.