2 %. C’est la part des membres de ClubCISO, une société composée de responsables de la sécurité de l’information du monde entier, qui pensent que la chaîne d’approvisionnement qui maintient leur entreprise en vie bénéficie actuellement d’une sécurité optimale, selon le dernier rapport ClubCISO Details Security Maturity.
Seulement 2 %. Si vous traduisiez cela en termes d’horloge de la fin du monde, vous seriez bien au-delà de 23 heures en ce qui concerne le temps délégué pour éviter une catastrophe de la chaîne d’approvisionnement.
Depuis plusieurs années maintenant, le paysage des risques liés à la cybersécurité repose en grande partie sur des entreprises individuelles, le piratage, l’escroquerie et le phishing étant utilisés pour cibler les entreprises matures vers le service complet ou l’extrémité produit de la chaîne d’approvisionnement. .
Cependant, en 2015, il y a eu un changement dans la façon de penser des entreprises, des compagnies d’assurance et des cybercriminels, cibler les chaînes d’approvisionnement assez vulnérables qui alimentent l’entreprise victime conventionnelle et la maintiennent en production, exactement parce qu’il s’agit d’une chaîne d’approvisionnement sensible, et parce que cibler plus tôt, les maillons moins sécurisés de la chaîne est aussi fiable une méthode de détention d’une entreprise avec une empreinte de sécurité assez développée contre rançon comme n’importe quel autre – mais impliquant considérablement moins d’efforts et de temps.
Les avantages d’une pandémie ?
Si quelque chose d’utile peut être déclaré comme étant réellement à l’origine de ce changement dans les principales priorités d’attaque, c’est qu’il a en fait forcé des entreprises qui étaient auparavant myopes en matière de cybersécurité et se concentraient uniquement sur le développement de leur propre forteresse spécifique aux actifs, à penser le problème de manière plus holistique, et – osons-nous le dire – même de manière socialiste, car elles reconnaissent qu’il y a une dure vérité commerciale dans la maxime selon laquelle la santé de l’un dépend de la santé du plus grand nombre.
Certes, pour la plupart des entreprises qui ont réalisé les études qui ont alimenté le rapport, l’effet de la pandémie sur la méthode de leur entreprise à la cybersécurité était globalement favorable.
Le récent rapport sur l’indice de sécurité mobile pour 2022 a montré une augmentation de 22 % des cyberattaques en 2021 par rapport à l’année précédente, et a largement attribué le bond de pratiquement 100 % la variété des attaques à la combinaison de rem ote le travail devenant un modèle post-pandémique, et la flexibilité accrue pour se déplacer vers des zones où la cybersécurité pourrait être plus rapidement compromise par le relâchement des mesures de confinement.
Cependant, le rapport du ClubCISO indique que la pandémie a principalement accru l’impact des RSSI sur leur entreprise, car les superviseurs du monde entier ont dû, de manière inattendue, prendre la cybersécurité avec le sérieux qu’elle a toujours mérité. Au total, 46 % des RSSI qui ont réagi aux études ont déclaré qu’ils avaient en fait augmenté leur impact au sein de leur entreprise parce que Covid a frappé pour la première fois, et 75 % des personnes interrogées ont déclaré qu’il y avait en fait eu un changement favorable ou aucun changement important dans l’état d’esprit de leur entreprise en matière de sécurité. en raison de l’essor du travail à distance.
67 % des RSSI ont déclaré que leurs entreprises avaient vraiment augmenté leurs investissements dans la sécurité des détails au cours de l’année précédente, et 91 % des RSSI ont accéléré leurs techniques de cybersécurité au cours de l’année précédente. exactement la même durée.
L’inconvénient
Là où les nouvelles prennent une tournure inquiétante, c’est que 30 % des entreprises représentées par les membres du ClubCISO ne voulaient pas, ou plus important encore, n’a pas pu obtenir une cyber-assurance. C’est une circonstance qui risque de s’aggraver en 2023 alors que le marché de l’assurance et les régulateurs mondiaux réagissent à l’année exceptionnelle pour les cybercriminels et à l’approche de la crise économique. D’un autre côté, le chiffre peut également se lire comme indiquant que 70 % des entreprises avec un CISO à bord souhaitaient et pouvaient obtenir une cyber-assurance – du moins entre-temps. Le souci de la cyber-assurance a également conduit ClubCISO à émettre des hypothèses sur la valeur réelle en dollars d’une couverture d’assurance plutôt que d’investir des fonds pour garantir que la couverture d’assurance n’est jamais requise.
Même dans le chiffre destructeur du gros titre que seulement 2 % des membres du ClubCISO ont évalué la procédure de leur entreprise pour faire face aux cyberattaques de la chaîne d’approvisionnement comme optimale, il y a de la place pour prendre une respiration apaisante. Les deux gradations suivantes de préparation à ces attaques – gérées et définies – ont enregistré un taux beaucoup plus réconfortant de 62 % entre elles, 25 % et 37 % pour chaque classification respectivement.
Cela dit, Stephen Khan , Président du ClubCISO, a saisi le jour de la publication du rapport pour souligner le risque dans lequel se trouvent les chaînes d’approvisionnement.
« La pandémie a mis en lumière le nombre important de zones aveugles dans nos chaînes d’approvisionnement. Ainsi, même si nous nous efforçons activement d’améliorer la sécurité des tiers, la menace de la chaîne d’approvisionnement de base reste encore immature », a-t-il écrit.
Plus encourageant, il est prouvé que les nouvelles pratiques et politiques ont un énorme impact favorable sur la création d’une culture de la sécurité dans les entreprises. Lorsqu’on leur a demandé quelles politiques avaient eu l’effet le plus efficace sur cette génération de culture favorable au cours des douze dernières années mois, deux approches qui n’avaient pas été retenues lors de l’enquête de l’année précédente – le phishing simulé et la recommandation de la culture de sécurité par le leadership – ont été votées sans aucun doute les pratiques les plus efficaces à adopter, avec l’approbation de la direction à 63 %, et le phishing simulé, 57 %.
De toute évidence, il reste encore beaucoup à faire dans les entreprises pour protéger leur chaîne d’approvisionnement, à la fois pour elles-mêmes et pour le bien de l’écosystème commercial dans lequel elles opèrent. Chaînes restera ou finira par être au cours des 12 prochains mois dépendra de la possibilité de diffuser des pratiques qui fonctionnent pour des entreprises spécifiques dans toute la chaîne d’approvisionnement, et de la volonté des entreprises de dépenser l’argent difficile pour le faire alors que de nombreuses régions du monde se dirigent vers au moins une sorte de récession.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
