Dans son rapport 2016 sur la cybersécurité, Tenable Network Security a interrogé 504 professionnels de la sécurité informatique employés par des organisations de 1000 employés et plus. Le rapport a récolté les réponses dans six pays différents (le Canada, les États-Unis, le Royaume-Uni, Singapour, l'Allemagne et l'Australie), parmi sept secteurs industriels.
Tenable a attribué à chaque pays une note globale qui reflète « le niveau de confiance des spécialistes de la sécurité vis-à-vis des défenses cybernétiques employées pour répondre aux exigences de sécurité ».
Le Canada a ainsi obtenu une note globale de 77% ou « C+ », légèrement plus élevé que la moyenne mondiale de 76% ou « C ». Il a obtenu une note de 70% pour l'évaluation des risques et une note de 84% pour son niveau d’assurance contre le cyberrisque. Le Canada se classe en deuxième position, derrière les États-Unis qui obtiennent une note de 80% (« B- »). L'Australie se classe en dernière position (69% ou « D+ »).
Une confiance relative dans la cybersécurité
Parmi les sept secteurs étudiés, à savoir l'éducation, les services financiers, les services gouvernementaux, la santé, la fabrication, la vente au détail et les télécommunications, ce sont les services financiers et les télécommunications qui ont reçu les notes les plus élevées (81%), tandis que l'éducation a reçu la note la plus basse (64%).
Toujours selon les données de l'enquête, lorsqu'on les interroge sur les plus grands défis auxquels ils sont confrontés actuellement, les répondants citent en premier lieu la cybercriminalité, tout en accordant une confiance relative à l'efficacité des produits de cybersécurité.
« Alors que les innovations en matière de sécurité répondent chaque jour à de nouveaux défis, les professionnels ont du mal à déployer une stratégie de sécurité globale efficace, sans failles entre les différents systèmes de défense utilisés », a déclaré Ron Gula, PDG de Tenable Network Security.
Nuages, mobiles et conseils d’administration
Les infrastructures en nuages (« D »), les appareils mobiles (« C ») et la participation aux conseils d'administration ont été identifiés comme les principales failles de sécurité dans l'industrie. Les répondants se demandent par exemple si leurs dirigeants et membres du conseil d'administration comprennent bien les risques de sécurité (« C + ») et investissent assez (« C ») pour atténuer la menace.
« Ces scores reflètent le manque étonnant de capacité à détecter et à évaluer le cyberrisque dans les infrastructures, les applications cloud ainsi qu’au niveau des appareils mobiles, a souligné Ron Gula. Une autre préoccupation est la bataille acharnée que livrent les professionnels de la sécurité pour mobiliser le sommet de leurs organisations à propos de la sécurité. Il y a un décalage de vision qui doit être comblé entre la direction des systèmes d'information et le conseil d'administration, afin que de réels progrès puissent être réalisés ».