jeudi 25 avril 2013

Le plus grand risque actuel ? les (cyber)menaces déjà connues !

C'est en tout cas ce qu'affirme l'Information Security Forum (ISF) dans la synthèse de son étude annuelle intitulée "Panorama des menaces 2015 - Plus de danger des menaces connues" en tentant l'exercice prospectif pour les deux prochaines années. Le leitmotiv de l'étude est de consirer que les menaces connues (1) ont un facteur de dangerosité plus élevé que les générations précédentes. Tout simplement parce que les attaquants se sont professionnalisés et que les attaques techniques sont de plus en plus sophistiquées.


En réalité, cette hypothèse de départ fait montre de peu d'originalité car l'étude est construite sur 5 grandes thématiques, relativement classiques : 
- la réputation, 
- les risques tendanciels technologiques que sont le BYOD et le cloud,
- la valeur de l'information pour certaines organisations criminelles
- les efforts à mener par les entreprises qui feraient l'erreur de ne s'appuyer que sur les gouvernements et les régulateurs,
- le risque cybernétique est sérieux, il faut avant tout le comprendre pour pouvoir le traiter correctement.

Cette dernière thématique apparait sans doute comme la plus intéressante car elle concentre certains des points durs actuels, rencontrés au sein d'une majorité d'entreprises. Parmi ces difficultés, se trouve tout d'abord une direction qui sous-estime voire ne comprend pas les risques pesant sur son activité. En corollaire, se rencontrent l'inadéquation de l'organisation mise en place (déficit d'expertises, ressources inadéquates, budgets insuffisants) et, caractéristique récurrente, le positionnement non stratégique des activités de cybersécurité. Avec un risque important de perte de maîtrise de la gouvernance par une trop grande sous-traitance voire, faute mortelle, une délocalisation quasi-complète.

En fait, et si l'on y regarde de plus près, cette étude est un plaidoyer pro domo pour le milieu international de la cybersécurité étant donné que l'Information Security Forum est une organisation non-gouvernementale dont le siège est à Londres. Et qui regroupe près de 300 RSSI et Risk Manager (RM) des 500 plus grandes entreprises mondiales. On peut donc penser que l'étude s'assimile à un bel exercice de thérapie collective et, positivons, une nouvelle tentative de sensibilisation de dirigeants d'entreprise toujours aussi sourds et borgnes.


(1) ou qui le seront d'ici deux années 

Aucun commentaire: