Alerte: 51% des entreprises ont déjà été touchées par un ransomware !
On parle beaucoup des risques à venir lié à l'intelligence artificielle et l'ordinateur quantique quand il s'agit de cybercriminalité ( voir article Ordinateur Quantique et IA: La sécurité de vos plateformes digitales compromise dans 5 à 10 ans). Toutefois de nos jours le risque est déjà explosif !
Dans le rapport State of Ransomware 2020 de l'entreprise spécialisée en sécurité Sophos qui a réalisé un sondage auprès de plus de 5000 entreprises ( dont 300 en France). Nous découvrons avec stupéfaction que la majorité (51%) des entreprises ont déclaré avoir déjà été touchées par un ransomware en 2020.
Et en lisant le rapport du Sénat du 10 juin 2021 qui s'appuie sur un sondage OpinionWay réalisé par le CESIN sur 228 entreprises : on découvre que 57 % des entreprises déclarent avoir connu au moins une cyber-attaque en 2020.
Vous souhaitez bénéficier d'un audit de sécurité ?
Prenez un rendez-vous de 15 minutes pour discuter :
Elsa BestaultDirectrice Conseil
Par ailleurs le coût moyen pour une entreprise piratée a été de US$732,520 si elle ne payait pas (474,478$USD pour la France) et de US$1,448,458 si elle payait
Si vous avez bien lu: la majorité des entreprises française aurait subi un coût moyen de 400K€ uniquement en 2020 pour assurer leur reprise d'activité suite à une attaque !
Par ailleurs, selon le rapport 2021 du club des juristes, (think tank ayant traité du droit pénal à l'épreuve des cyberattaques) la cybercriminalité est actuellement la 3eme économie mondiale avec 10 500 milliards de dollars et que sa croissance est estimé à 15%/an dont +148% uniquement pour les ransomware.
La croissance des risques et de la quantité de cyber attaques est inévitable car le gisement financier que représentent les entreprises reste énorme.
"vite un audit rapide pour savoir si je suis en sécurité!"
La France n'a que 17% de chance d'éviter une attaque
Pas de chance pour les entreprises françaises !
Toujours selon Sophos, la France est bien mauvaise pour savoir repousser les attaques d'aujourd'hui. Avec seulement 17% de chance d'éviter une attaque nous sommes en 19ème position du classement.
Cela s'explique, selon nous, par une mauvaise prise en compte de la sécurité au niveau globale, de l'architecture globale des systèmes d'information et de la prise en considération de la vision business à long terme de chaque corps de métier. Parce que la sécurité n'est pas simplement une liste de bonnes pratiques à mettre en œuvre, il faut souvent rationaliser et industrialiser pour diminuer la quantité de failles de sécurité à traiter.
La sécurité de vos plateformes digitales, une histoire de Security-By-Design
Même le Sénat souligne au travers du rapport du 10 juin 2021 la nécessité de renforcer la conception sécurisée (security by design).Parce qu'il s'agit du meilleur moyen de défense que vous ayez.
Après 14 ans de réponse à des appels d'offres et d'accompagnement client sur plus de 3000 projets digitaux, AODB sait reconnaître les problématiques de sécurité dès la description d'un projet de refonte digitale.
Par exemple lorsque l'automatisation et l'industrialisation des processus (CI/CD/CIT) ne sont pas prises en compte selon leur plein potentiel. Dans ce cas, nous savons que l'entreprise se prive de l'automatisation des tests de sécurité et de la limitation des facteurs humains.
Mais aussi quand la réflexion sur l'exploitation des Cloud n'est pas la priorité en amont des projets. Et pourtant, cela permettrait de limiter les risques de hameçonnage. En effet il est indispensable de définir une architecture dans son ensemble avec une véritable vision à long terme, donc bien souvent en intégrant la composante cloud.
Ou encore quand l'entreprise souhaite faire appliquer le référentiel OWASP ou PCI sur un système dont la refonte est déjà terminée, c'est bien … mais c'est trop tard. Car la sécurité est plus efficace quand elle se situe en amont, soit dans les fondations de votre système.
Au final la sécurité est souvent abordé en dernier et rarement intégré directement dans le Design de la solution.
Quelques exemples criant que AODB a rencontré à de nombreuses occasion :
- vous avez plusieurs dizaines ou centaines de sites web/extranet/intranet à sortir sur les 10 prochaines années ? Construisez une usine à site avec une architecture qui englobe l'ensemble de votre vision afin de limiter la surface informatique que vous allez exposer à la cybercriminalité. Il est impossible de le faire par la suite sans créer … une usine à gaz
- Vous n'avez pas prévu un CIT dès le départ ? Alors ça va être très dur de le rajouter par après. Et pourtant vous pouvez automatiser le contrôle de vos régressions et de la sécurité de plusieurs systèmes simultanément.
- Vous avez une vision de développement à l'international et vous mettez la réflexion cloud en dernier ? Il va falloir tôt ou tard casser une partie de l'architecture pour la refaire, et non sans risques.
- Vous avez la possibilité de découpler votre architecture ? Passez de suite au Headless afin de ne plus exposer vos End-points aux cybercriminels. Et au passage vous allez gagner beaucoup de performance front-end.
- Et bien d'autres cas dans lequel vous vous trouvez peut-être ...
Vous souhaitez bénéficier d'un audit de sécurité ?
Prenez un rendez-vous de 15 minutes pour discuter :
Elsa BestaultDirectrice Conseil
Que dois je faire ?
Évidemment c'est toujours une bonne chose de vérifier que ses systèmes sont sécurisés, en faisant par exemple des audits de sécurité et en appliquant des principes de sécurité issue de l'OWASP.
Mais si les entreprises en sont là c'est en raison de l’ultra-spécialisation des systèmes techniques ayant eu lieu depuis 20 ans et qui ont transformé l'écosystème informatique en un assemblage hétéroclite et incohérent de multiples technologies incompatibles entre elles. Le tout accompagné d'un nouveau phénomène, le Shadow IT, qui se définit par le développement ou la location d'applications directement par les services Métiers ou Marketing, sans aucun contrôle de la DSI, qui ainsi perd le contrôle global de la sécurité.
Il vous faut désormais rationaliser afin d'intégrer une politique de Security-By-Design. Mais aussi mettre en œuvre un PCA (Plan de Continuité d'Activité) afin de vous préparer au pire dès aujourd'hui.
Notre conseil : faites un audit rapide de vos plateformes digitales existantes afin d'identifier des actions rapides, concevoir un plan visant à rationaliser votre écosystème et mettre tout de suite en oeuvre un PCA.
Vous souhaitez en savoir plus ?
Rencontrons-nous
- Sécurité
Participez à nos workshops et events
Nous contribuons aux évolutions et aux conférences technologiques en Europe
-
Drupagora
-
Image
-
Image
-
Image
-
Image
-
DrupalEurope