83% des entreprises n'ont pas d'équipe dédiée au traitement des cyber-attaques et 58% n'ont pas de procédure de notification en tel cas. Pourtant 52% savent qu'elles ont déjà été attaquées et 33% pensent que cela n'a pas été le cas. Les attaques sont à la fois ciblées et opportunistes pour 37% des répondants, opportunistes pour 26% et ciblées pour 25%. Ces chiffres sont issues d'une étude qui vient d'être publiée par le cabinet Provadys en collaboration avec le Cesin (Club des Experts de la Sécurité de l'Information et du Numérique).

La détection pas si poussée

Pour détecter les faiblesses, les tests d'intrusion sont réalisés par presque toutes les entreprises ayant répondu. Mais ces tests sont réalisés tous les mois dans un cas sur dix, à peine plus pour une fois par trimestre et une petite moitié pour une fois par an. Les audits de sécurité plus globaux sont encore moins fréquents : un cinquième des répondants font ces outils tous les 2 à 3 ans, moins d'une moitié tous les ans. Entre un cinquième et un tiers font des audits plus fréquents.

La détection des cyber-attaques n'est, de toutes les façons, qu'entre les mains de spécialistes dans la moitié des cas, sans que les utilisateurs finaux puissent accéder aux outils adéquats. L'analyse a posteriori pour tirer des leçons d'une attaque n'est faite en interne que dans un tiers des cas, en externe dans un autre tiers et pas faite du tout dans le dernier tiers des cas.

Une réaction anémique

Lorsqu'une partie du système d'information est externalisée, ce qui est ainsi confié à des tiers n'est expertisé que dans à peine la moitié des cas. Les plans de sécurité des prestataires ne sont harmonisés avec la sécurité intérieure que dans un cas sur dix.

Le risque spécifique de cyber-attaque n'est, de toutes les façons, compris que dans la moitié des plans de sécurité des systèmes d'information (PSSI). Et le PCA n'intègre ce risque que dans un tiers des cas. La réévaluation des outils et procédures n'est, en plus, que rare.