Le nouveau rapport souligne le manque d'investissement dans la cybersécurité, la méconnaissance des questions de conformité et l'incapacité persistante à sécuriser les données critiques.
Le Benelux est à la traîne alors que l'Inde est le pays le plus performant au monde en matière de cybersécurité.
Les multinationales ne progressent plus en matière de cybersécurité et sont paralysées face aux avancées des cybercriminels. Telle est la conclusion du rapport 2019 Risk:Value - « Destination standstill. Are you asleep at the wheel? » de NTT Security, spécialiste de la sécurité et centre d'excellence en matière de sécurité pour le Groupe NTT.

Analysant l'attitude de 2 256 décideurs non informaticiens – dont 101 au Benelux – à l'égard du risque ainsi que l’importance de la sécurité pour les entreprises, le cinquième rapport annuel Risk:Value de NTT Security a sondé des cadres dirigeants et d’autres décideurs de haut niveau dans 20 pays des Amériques, d'Asie Pacifique et d'Europe, dans plusieurs secteurs d’activité.

Les résultats de cette année montrent que les organisations sont conscientes des risques posés par les cybermenaces, puisque la cybersécurité et le vol de données figurent parmi les cinq principaux risques commerciaux. En fait, seul le risque d'une « crise économique ou financière » l'emporte sur leurs préoccupations concernant les « cyberattaques contre l'organisation ». La majorité des personnes interrogées – 84 % dans le monde et 77 % au Benelux – pensent qu'une cybersécurité forte aidera leur entreprise ; 88 % et 80 % respectivement croient que la cybersécurité a un rôle important à jouer dans la société.

Pour chaque organisation sondée ces deux dernières années, NTT Security a analysé les réponses concernant les bonnes et les mauvaises pratiques en matière de cybersécurité, les bonnes pratiques ayant obtenu une note positive et les mauvaises une note négative. Les résultats révèlent une absence de progrès inquiétante : en 2019 comme en 2018, le score moyen n'était que de +3, ce qui signifie qu'il y a presque autant de mauvaises pratiques que de bonnes. Au Benelux, la Belgique (+1) et les Pays-Bas (0) sont en dessous du taux mondial.

Les entreprises indiennes, dont le pays a été étudié pour la première fois, sont les plus performantes au monde en matière de cybersécurité, devant les États-Unis et le Royaume-Uni. La performance des organisations en France, en Allemagne et à Singapour s'est dégradée au cours de l'année écoulée, de même que celle des secteurs des services financiers, des télécommunications, de la chimie, de la pharmacie, du pétrole et du gaz, et de la santé privée, mettant en doute la solidité des infrastructures nationales critiques.

Quelles sont les entreprises du Benelux qui ne progressent pas dans le domaine de la cybersécurité ?

Moins de la moitié (45 %) des sondés du Benelux considèrent cette année que toutes leurs « données critiques » sont « totalement sécurisées » – ils étaient également 45 % en 2018.
Plus d'un tiers des personnes interrogées indiquent qu'elles préféreraient payer une rançon à un hacker qu'une amende pour non-respect des règles de protection des données ; la même proportion préférerait payer un hacker qu'investir davantage dans la sécurité – un statu quo par rapport à 2018.
Bien que 81 % des sondés estiment qu'il est important de se conformer aux règlements, un sondé sur dix ne sait pas à quels règlements leur organisation est assujettie.
Seuls 24 % pensent qu'ils sont soumis au RGPD, un an après la date limite de mise en conformité, alors même qu'il concerne toutes les organisations qui opèrent ou ont des clients dans un État membre de l'Union européenne.
Les budgets de sécurité ne parviennent pas à suivre l’accroissement des cyber-risques, puisque l'augmentation du pourcentage des budgets informatiques attribués à la sécurité est minime (14 % cette année). Le pourcentage du budget de fonctionnement consacré à la sécurité a chuté depuis 2018, à 15 %.
Les organisations du Benelux ne sont toujours pas proactives en matière de politiques et de processus internes. 50 % ont mis en place une politique officielle de sécurité des informations. Moins de la moitié (43 %) ont un plan d'intervention en cas d'incident, soit une hausse de 1 % par rapport à 2018.
40 % estiment que la cybersécurité « est le problème du département informatique et non de l'entreprise au sens large. »
Le pourcentage d'entreprises manquant de compétences/ressources augmente : 48 % contre 44 % en 2018 ; ce qui suggère que les entreprises du Benelux font plus appel à des fournisseurs de sécurité tiers.

Coûts et temps passé à se remettre d'une atteinte à la sécurité
Le rapport 2019 Risk:Value révèle également que, contrairement à la moyenne mondiale, les sondés du Benelux estiment que le temps consacré à se remettre d’une atteinte à la sécurité a diminué par rapport à l'année dernière : 57 jours (- 6 jours) au Benelux contre 66 jours (+ 9 jours) au niveau mondial. Toutefois, la perte de chiffre d’affaires estimée en pourcentage du chiffre d'affaires est en hausse d'une année sur l'autre : 12,7 % en 2019, contre 10,3 % en 2018 et 9,9 % en 2017.

Selon le rapport, le coût de la récupération après une brèche reste élevé, près de 900 000 € en moyenne pour les entreprises du Benelux et 1 million d’euros au niveau mondial. En particulier dans les pays nordiques, les coûts devraient être beaucoup plus élevés, la Norvège (1,6 million d'euros) et la Suède (2,7 millions d'euros, soit plus du double de la moyenne mondiale) se classant en tête. L'industrie pétrolière et gazière occupe la première place dans tous les secteurs et devrait consacrer 2 millions d'euros aux efforts de récupération.

« Le rapport Risk:Value de cette année montre que les entreprises ne progressent pas en matière de cybersécurité », explique Charles Bovy, Director MSS PreSales EMEA & Regional Lead Benelux chez NTT Security. « Le monde qui les entoure est en train de changer, avec l'intégration des nouvelles technologies et les projets de transformation numérique qui changent notre façon de faire des affaires. Les cybercriminels profitent de cette paralysie et, pour cette raison, les atteintes à la protection des données continueront de faire la une des journaux. »

« Il est clair que les décideurs considèrent la sécurité comme un catalyseur, quelque chose qui peut aider les entreprises et la société en général. Mais même si les organisations sont très conscientes des risques, elles n'ont toujours pas la capacité, ou peut-être la volonté, de les gérer efficacement. Nous constatons des réactions manquant d’envergure dans des domaines tels que les politiques de sécurité interne et les plans d'intervention en cas d'incident, ainsi qu'une méconnaissance des réglementations qui affectent les entreprises – le tout conforté par l’idée que lorsque quelque chose tourne mal, c'est la faute du service informatique. La conception et l'exécution des stratégies de cybersécurité doivent être améliorées, faute de quoi les risques commerciaux vont empirer pour les organisations concernées. »