L'attention des entreprises italiennes pour la sécurité informatique augmente, dans une année très difficile sur ce front, au milieu de la découverte des violations de 500 millions de comptes Yahoo et des prétendues actions de cyberespionnage lors des élections présidentielles américaines. En 2016, le marché des solutions de sécurité de l'information en Italie a atteint 2016 millions d'euros en 972, en hausse de 5% par rapport à 2015, avec une dépenses concentrées dans les grandes entreprises (74 % du total) répartis entre la technologie (28 %), les services d'intégration informatique et le conseil (29 %), les logiciels (28 %) et les services gérés (15 %).
C'est ce qu'a déclaré l'Observatoire de la sécurité de l'information et de la confidentialité de l'École de gestion de l'École polytechnique de Milan, présenté jeudi matin lors de la conférence "Cybercriminalité : La menace invisible qui change le monde”. Selon l'étude, bien que la prise de conscience se développe, face aux nouveaux défis posés par le développement des technologies telles que le Cloud, le Big Data, l'Internet des Objets, le Mobile et le Social, une approche à long terme de la gestion de la sécurité et de la vie privée n’est pas encore généralisé avec une structure de gouvernance claire : seulement 39% des grandes entreprises ont un plan d'investissement à horizon pluriannuel et seulement 46% ont formellement la figure de Chief Information Security Officer, le profil managérial en charge de la sécurité.
"La cybercriminalité est une menace concrète, même si souvent invisible, capable d'influencer le monde, comme le démontrent les actualités quotidiennes, qui nécessitent de nouveaux outils et modèles pour y faire face - déclare Gabriele Faggioli, directeur scientifique de la sécurité de l'information & Confidentialité -. Les nouvelles tendances de l'innovation numérique telles que le Cloud, le Big Data, l'Internet des Objets, le Mobile et le Social nécessitent de nouvelles réponses qui ne peuvent plus être reportées. Le nouveau règlement européen sur la protection des données personnelles crée certaines des conditions préalables nécessaires pour arriver à un cadre de référence, qui demande cependant à être compris et mis en œuvre. La voie de gestion de la sécurité de l'information et de la confidentialité exige des entreprises qu'elles mettent en place des modèles de gouvernance, une planification et des solutions adaptés pour faire face à la transformation ».
Comme l'explique Alessandro Piva, directeur de l'Observatoire de la sécurité de l'information et de la confidentialité, "Si nous analysons plus profondément les données de la recherche, en fait, nous réalisons à quel point les grandes organisations italiennes sont encore en retard : plus de la moitié n'ont pas encore de chiffre managérial codifié pour l'informatique. gestion de la sécurité, mettant en évidence un écart important par rapport à ce qui se passe dans d'autres pays. De plus, il y a un retard dans la compréhension des implications des tendances de l'innovation numérique telles que le Cloud, l'IoT, le Big Data, le Mobile, sur la gestion de la sécurité. Dans le contexte actuel, des modèles de gouvernance plus matures et transversaux sont nécessaires, garantissant la bonne combinaison de compétences pour gérer des technologies de plus en plus omniprésentes. Et il faut d'une part concevoir des systèmes capables de prédire d'éventuelles attaques, d'autre part développer des programmes de sensibilisation des utilisateurs, afin de promouvoir des comportements responsables ».
Les projets
Les projets de sécurité des entreprises italiennes dans le domaine de la sécurité sont principalement orientés vers l'identification des risques et la protection contre les attaques, tandis que la prise en charge de la détection d'événements, puis de la réponse et de la récupération est encore immature. En fait, les projets les plus populaires parmi les grandes entreprises sont les tests d'intrusion et la sécurité des données (51 %), la sécurité des réseaux (48 %), la sécurité des applications (45 %), la sécurité des terminaux (43 %), la gestion des informations et des événements de sécurité (SIEM). (38 %), sécurité de la messagerie (38 %), sécurité Web (36 %), gouvernance et administration des identités (IGA) (32 %), renseignements sur les menaces (20 %), sécurité des transactions (19 %), sécurité des médias sociaux (16 %).
Les politiques les plus présentes concernent en revanche la sauvegarde (89%), la gestion des accès logiques (84%), la régulation des politiques de sécurité informatique (80%), la gestion et l'utilisation des appareils de l'entreprise (72%), la gestion du cycle de vie des données (58%), l'utilisation des réseaux sociaux et du web (57%), les actions à mettre en place en réponse aux incidents informatiques (52%), les politiques de classification des données (52%) et leur chiffrement (39% ).
Breeze Mobile
Presque toutes les entreprises italiennes (97 %) mettent des appareils mobiles à la disposition de leurs employés, y compris des ordinateurs portables, des smartphones et des tablettes et des applications professionnelles mobiles, avec des risques non seulement de vol ou de perte d'appareils mobiles, mais aussi d'éventuelles cyberattaques ciblées. 74 % des entreprises italiennes ont des initiatives spécifiques pour atténuer le risque associé à la sécurité mobile, qui concernent à la fois l'introduction de plates-formes et d'outils technologiques spécifiques tels que les solutions MDM (Mobile Device Management) pour limiter l'utilisation des appareils mobiles (61 %), et la définition standardisée et conventionnelle des règles que les utilisateurs d'appareils doivent suivre lorsqu'ils accèdent aux systèmes et aux données de l'entreprise. 27 % des organisations ont établi des réglementations qui limitent l'accès à des applications et services particuliers à partir de réseaux extérieurs à l'entreprise et 61 % ont établi des politiques spécifiques pour l'utilisation des appareils mobiles.
le cloud
Les principaux risques pour les environnements cloud dépendent de la relation avec le fournisseur : la menace la plus importante pour 63 % des entreprises est le manque de contrôle sur les opérations du fournisseur de services, pour 44 % le basculement avec le fournisseur et la violation de données, pour 41 % % de manque de transparence vis-à-vis des obligations contractuelles avec le fournisseur. Il est donc clair que ce ne sont plus les menaces technologiques qui préoccupent les entreprises mais une attention toujours plus grande doit être portée à la rédaction du contrat et à la gestion de la relation avec les prestataires.
IdO
Avec le développement de l'Internet des Objets, le nombre d'appareils connectés au réseau et les points d'accès possibles pour une attaque sur le système d'information de l'entreprise augmentent. 47% des organisations n'ont encore mis en place aucune action pour se protéger dans ce domaine, 41% évaluent les actions possibles, 13% ont des politiques de sécurité dès la conception dans la conception des produits (sécuriser avec des mesures telles que la surveillance de l'utilisation des informations d'identification et de meilleures pratiques de programmation) , 10% utilisent des solutions technologiques spécifiques, 9% ont des politiques sur la collecte des données dans le périmètre de l'entreprise et 5% pour la gestion des données collectées par les objets intelligents.
Cyber intelligence
Les cybermenaces font de plus en plus partie intégrante du tissu numérique des entreprises et il n'est pas possible d'éviter une faille de sécurité à 100%, alors à côté de l'approche traditionnelle basée sur la protection des systèmes, les entreprises commencent à adopter une logique d'anticipation des menaces. L'analyse des données liées au monde de la sécurité de l'information est supervisée par 57% des organisations par le biais d'une supervision formelle ou informelle, pour 8% il y a une supervision en dehors des activités de sécurité de l'information de base, dans 35% elle n'est pas humaine.
32% des entreprises n'utilisent pas les données pour interpréter ou anticiper les problèmes critiques, tandis que les 68% restants ont entamé des actions dans ce domaine. L'intégration de données provenant de diverses sources (données d'incidents mondiaux, adresses IP, journaux, URL suspectes issues de rapports d'utilisateurs, etc.) permet de développer des modèles de surveillance des menaces, capables d'intercepter d'éventuelles anomalies et de les gérer avant que la situation ne devienne réellement critique. Dans certaines entreprises, il existe des structures spéciales au sein des centres d'opérations de sécurité, qui analysent et corrèlent les données dans une perspective de cyber intelligence.
Assurances
Le marché de l'assurance contre les risques cyber est encore immature en Italie. La couverture du risque cyber vise à couvrir les dommages causés directement au souscripteur ou à des tiers, depuis l'investigation et la gestion des événements, jusqu'à la gestion des enquêtes préliminaires, jusqu'à la couverture des dommages. Seulement 15% des entreprises ont déjà une couverture d'assurance active, bien que dans un peu plus de la moitié des cas (8%) il s'agisse de polices expressément orientées vers le risque cyber, tandis que dans les cas restants, ce sont des couvertures générales qui l'offrent comme condition. . 29% évaluent la couverture d'assurance, tandis que 32% ne considèrent pas le marché de la cyberassurance suffisamment mature ou ne considèrent pas le problème comme pertinent.
Le facteur X
En sécurité le facteur X est fondamental, l'élément d'incertitude lié au comportement humain, tels que la distraction ou le manque de sensibilisation, souvent utilisés par les cybercriminels pour violer les systèmes de l'entreprise. 95% des organisations italiennes ont déjà lancé des actions spécifiques pour sensibiliser les entreprises utilisatrices. Les initiatives les plus répandues concernent les communications périodiques envoyées aux salariés par email (77%) et les formations en présentiel ou en e-learning (66%). Dans 28% des cas, la formation est également appuyée par la distribution ponctuelle de matériel d'information (bons, brochures, affiches). Pour 28 % des organisations, il s'agit de véritables projets de sensibilisation structurés utilisant divers outils et couvrant souvent un horizon pluriannuel. Des activités d'évaluation de la vulnérabilité sont également menées sur les salariés de l'entreprise (28 %), par exemple par l'envoi de faux emails de phishing ou de simulations d'attaques informatiques, qui servent d'une part à mesurer le niveau de sensibilisation des salariés, d'autre part à tester l'efficacité des initiatives déjà menées.
PME
L'analyse de la diffusion des solutions de sécurité de l'information auprès d'environ 800 petites et moyennes entreprises italiennes révèle que 93 % des PME ont consacré un budget en 2016, bien que cela ne corresponde pas nécessairement à une utilisation mûre et consciente. En effet, les principales raisons des investissements sont la conformité réglementaire (48%) et les attaques subies par le passé (35%), mais parfois elles suivent la nécessité de répondre à de nouveaux besoins technologiques (22%) ou métier (31%). La plupart des PME disposent de solutions de sécurité basiques (76%) comme l'antivirus et l'antispam et 62% déclarent disposer également de solutions sophistiquées, comme les pare-feux ou les systèmes de détection d'intrusion. Cependant, une organisation sur quatre (25%) est guidée par le bon sens, sans approche technologique définie. 46% ont des politiques d'entreprise bien définies, tandis que seulement 10% ont des programmes de formation visant à accroître la sensibilisation. L'approche de la sécurité dans les PME est principalement orientée vers l'identification (66%) et la protection (66%), beaucoup moins vers la détection (12%) et la réponse (15%). L'attention portée à l'enquête croît à mesure que la taille de l'entreprise augmente, passant de 11 % de petites entreprises à 20 % de moyennes.
"Les PME semblent sous-estimer la croissance de la sensibilisation au risque parmi leurs employés – note Alessandro Piva -. Seules 9 % des petites entreprises (entre 10 et 49 salariés) disposent de programmes de formation spécifiques pour accroître la sensibilisation des ressources aux risques informatiques, tandis que la pertinence des actions de sensibilisation croît avec l'augmentation de la taille de l'entreprise, atteignant 20 % pour les ETI (entre 50 et 99 salariés) et 24 % pour les grandes entreprises (entre 100 et 249 salariés) ».
