Les sociétés de services financiers sont une cible populaire pour les cybercriminels, car elles travaillent avec de l’argent et gèrent des tas de données clients sensibles que les criminels utilisent pour diverses fraudes ou pour vendre sur le dark web. L’an dernier, le secteur financier a subi plus de 1 500 incidents, avec 448 divulgations confirmées.
Elles ont aussi dû faire face à une transition rapide vers le télétravail suite à la pandémie. Cela leur a laissé peu de temps pour déployer une cyber-sécurité adaptée ou préparer les employés aux cyber-menaces. Le télétravail étant là pour rester, il s’ajoute aux défis auxquels les entreprises doivent faire face lorsqu’elles préparent leurs plans et politiques de cyber-sécurité. Cela pose souvent des problèmes.
Peu de talents
De nombreuses sociétés recherchent des professionnels de la cyber-sécurité pour les aider à établir une défense contre les menaces, mais il n’y en a pas assez. Même si dans ce domaine le déficit de main-d’œuvre a diminué pour la première fois depuis longtemps, il y a encore une pénurie mondiale de 3,12 millions de spécialistes. Pour combler ce déficit, leur nombre doit augmenter de 41 % aux USA et de 89 % dans le monde. Pour attirer les plus brillants en cyber-sécurité, les entreprises offrent des salaires compétitifs et des opportunités épanouissantes.
Budgets insuffisants
Un problème clé : les budgets alloués à la cyber-sécurité sont insuffisants. Selon une enquête d’Ernst & Young, 87 % des organisations contactées ont déclaré ne pas disposer d’un budget suffisant pour atteindre les niveaux de cyber-sécurité et de résilience qu’elles visaient. En raison du manque de ressources, les entreprises ne peuvent pas embaucher suffisamment de talents ni mettre en place les mesures techniques nécessaires pour résister aux diverses cyber-menaces.
Cyber-sécurité surestimée
Une erreur courante : les entreprises surestiment la qualité de leur cyber-sécurité. Bien qu’elles croient être informées, elles n’ont peut-être pas mis en place les meilleures politiques de gestion des correctifs de vulnérabilité. Un bon – mais malheureux – exemple est la vulnérabilité BlueKeep dans Windows. Le correctif a été publié en mai 2019 et Microsoft a exhorté tout le monde à l’appliquer immédiatement.
Un mois plus tard, la National Security Agency a publié son propre avertissement, mais en juillet, il y avait encore plus de 805 000 machines vulnérables à la faille sécuritaire et cela a culminé avec les premières attaques BlueKeep en novembre. Corriger une vulnérabilité aussi grave ne devrait jamais prendre six mois.
Manque de sensibilisation
Un autre élément qui affaiblit la cyber-sécurité est que les employés ne reçoivent pas suffisamment de formation de sensibilisation à la cyber-sécurité. Les risques que les employés téléchargent des maliciels ou perdent des informations d’identification de leur entreprise ont été amplifiés suite au télétravail.
Selon une étude de l’Institut Ponemon, bien que les entreprises aient enregistré une recrudescence des cyberattaques pendant la pandémie (dont attaques de phishing et d’ingénierie sociale), 24 % des personnes interrogées déclarent que leurs organisations n’avaient pas prévu une formation suffisante sur les risques liés au télétravail. L’étude révèle que plus de la moitié des entreprises n’avaient aucune politique sécuritaire pour les employés en distanciel.
La valeur de la cyber-sécurité
Certaines organisations sous-estiment la valeur de la cyber-sécurité et investissent dans d’autres aspects jugés plus intéressants, tel que le financement de l’expansion ou le développement de nouveaux produits. Elles peuvent faire valoir que les coûts l’emportent sur les avantages, le coût de la cyber-sécurité dépassant les pertes potentielles d’une violation de données.
A court terme les amendes et pertes potentielles peuvent être inférieures mais les atteintes à la réputation peuvent avoir des conséquences plus importantes, comme la perte de confiance des clients, qui affecterait les sources de revenus. De plus, les cybercriminels peuvent accéder à la propriété intellectuelle et vendre les données des clients sur le dark web. La cyber-sécurité ne doit pas être une réflexion après coup, car elle protège tant l’entreprise que ses clients.
Conclusion
La combinaison de ces facteurs peut générer une tempête dans les entreprises confrontées à une cyberattaque. Maintenant, les sociétés financières ont commencé à se préoccuper, au plus haut niveau, de cyber-sécurité. McKinsey a constaté que 95 % des conseils d’administration interrogés déclarent discuter des cyber-risques et risques technologiques au moins quatre fois par an. La sensibilisation de la haute direction doit aller de pair avec des investissements suffisants dans des solutions de cyber-sécurité et dans la meilleure formation possible pour le personnel.
Ceci est une contribution de Amer Owaida d’ESET. Pour plus d’informations sur leurs solutions, veuillez cliquer ici.