500 000 € d’amende pour une société du bâtiment, 180 000 € pour un assureur, 400 000 € pour un acteur de l’immobilier… les entreprises françaises ne sont pas épargnées par la CNIL. 18 mois après l’entrée en vigueur du RGPD, ceux qui pensaient que la nouvelle réglementation ne serait pas suivie d’effets en sont pour leurs frais. Si l’on est encore loin des 50 millions d’euros d’amende infligés à Google ou des 200 millions d’euros de British Airways, la note reste salée.
Alors que l’IT en général et la sécurité en particulier ont souvent été considérées comme des centres de coûts, les évolutions réglementaires comme l’intensification de la menace ont changé la donne. Selon une étude IDC, la moitié des entreprises françaises aurait augmenté leurs dépenses en sécurité informatique en 20191. Toujours selon l’analyste, ces dernières devraient passer de 2,9 milliards d’euros à 3,9 milliards entre 2018 et 2020.
La peur de l’amende n’est toutefois pas la seule explication à cette hausse. La médiatisation de cas emblématique de piratage, comme ceux de Sony ou Yahoo par exemple, joue également en faveur d’un renforcement des mesures de protection. « Quand des ténors mondiaux font la une de la presse avec des fuites massive de données, cela engendre naturellement des interrogations dans de nombreuses sociétés, confirme Patrick Lebeau, développeur d’affaires chez Lenovo. Plus de la moitié de nos rendez-vous clients tournent autour de la sécurité ».
Si l’on examine l’aspect purement économique de la question, le calcul de ROI est assez rapide. Le coût d’une sécurité de bout en bout fait pâle figure comparé au coût moyen d’une violation de données, qui atteint près de 4 millions de dollars. Pour un tiers des entreprises, une seule heure d’arrêt de leur production équivaut à une perte d’au moins un million de dollars.
publicité
Automatiser les bonnes pratiques
À l’heure de l’ultra-mobilité et du tout connecté, une des principales craintes des entreprises réside dans les postes clients. Chaque année, elles perdent en moyenne 23 jours à se remettre d’une attaque de ransomware par exemple. « L’aspect humain de la sécurité ne doit jamais être écarté, continue Patrick Lebeau. Un utilisateur peut créer une faille de sécurité ou causer une fuite de données involontairement.
La partie éducation est primordiale et doit être rémanente mais il faut également trouver des parades technologiques ». Aujourd’hui, les équipes informatiques passent plus de 1 000 heures par semaine à détecter et contenir les terminaux non sécurisés2. Pourtant, dans 68 % des cas, la maîtrise de logiciels malveillants ne nécessite pas d’intervention humaine et peut être automatisée, moyennant l’acquisition d’appareils équipés d’un environnement de sécurité adéquat.
La plateforme ThinkShield de Lenovo, permet d’automatiser les bonnes pratiques de sécurité que tout RSSI aimerait voir appliquer au sein de son parc informatique. Installer systématiquement les mises à jour critiques et les correctifs de sécurité, utiliser un mode d’authentification multifacteur, ne pas se connecter à un wifi public non sécurisé, ne pas ouvrir de lien ou de pièce jointe suspects, autant de recommandations pourtant basiques que les équipes informatiques passent leur temps, au mieux à vérifier, au pire à appliquer elles-mêmes.
57 % des entreprises victimes de piratage indiquent que la faille provenait d’une vulnérabilité connue, mais non patchée. Avec ThinkShield, les appareils sont automatiquement maintenus à jour, les accès sont conditionnés à une authentification forte, les fichiers suspects peuvent être exécutés , filtrés par l’ajout d’une solution sandbox et les connexions distantes passent obligatoirement par un VPN.
Et pour libérer encore davantage de temps aux administrateurs, la politique de sécurité peut-être directement implémentée en usine par Lenovo. Lorsque l’utilisateur reçoit sa machine, l’entreprise a d’ores et déjà l’assurance que les règles de sécurité seront automatiquement appliquées. Et la dépense de départ devient alors une importante économie.
1 – IDC France, Observatoire de la Sécurité IT 2019
2 – Ponemon Institute, The cost of insecure endpoints
Comments