Cyberattaques en hausse – investissements en baisse….

Les investissements en cybersécurité vus par l’ENISA

Le sujet est gravissime, parce qu’il touche le monde de la santé globalement, mais aussi parce qu’il préfigure ce qui peut se passer au niveau d’autres services de santé tel que les centres de radiothérapie, de dialyse, etc. mais aussi d’autres services publics tels que les transports, bref, il fait froid au dos !

Au même moment, l’ENISA (European Union Agency for Cybersecurity) publiait son étude régulière NIS Investments 2022, une excellente étude, gratuite de surcroît, qui synthétise les budgets, les investissements en cybersécurité en 2021 et présente des axes techniques par secteur d’activité économique d’investissements en cybersécurité. Et le tout au niveau des 27 pays de l’EU.

Ce qui est particulièrement inquiétant pour nous tous citoyens, pas uniquement en tant que professionnels de la cybersécurité, est que le pourcentage moyen de la part des budgets IT alloués à la cybersécurité est de 6,7%, en baisse d’un point par rapport aux chiffres de l’année dernière. Cette diminution est expliquée par un certain atterrissage en 2021 d’investissements en cyber du secteur de la banque et la finance.

Le manque de fonctions stream Cyber Threat Intelligence

Pour revenir à la dernière attaque de l’hôpital André Mignot, tant que les budgets alloués à la sécurité des systèmes d’information seront en moyenne à 6,9% du budget IT pour un établissement de santé en Europe, quand les professionnels de sécurité des SI, estiment qu’il faudrait qu’il soit à minimum 15%, on aura de très graves cyber-incidents dans l’avenir.

Car dans ces chiffres, nous retrouvons la totalité des coûts : CAPEX et OPEX, les salaires des personnels, les outils, les maintenances, etc. etc.

L’étude ENISA, qui a porté sur des données de 2021 couvrant 1080 opérateurs de services essentiels ainsi que des providers de services digitaux (marketplace, moteurs de recherches, cloud providers) nous enseigne aussi que le coût direct d’un incident de sécurité est en moyenne de 200 000 euros, le double de l’année précédente en Europe et que les secteurs de la santé et de la banque sont les premiers en termes de coûts subis.

Donc d’un côté les budgets moyens ont baissé de 1% et de l’autre coté les coûts des sinistres ont doublé, sachant que 37% des opérateurs de services sensibles en Europe ne possèdent pas de SOC ! Et dans ce contexte, beaucoup de sociétés ne possèdent pas de fonctions stream CTI (Cyber Threat Intelligence), composante indispensable dans le quotidien des ingénieurs, qui couplée à une organisation de SOC composée de cyber-analystes, permet d’identifier les signaux faibles, de savoir où chercher, suivant des patterns d’attaques, et in fine d’éviter des cyberattaques.

La sensibilisation …

Dernier élément pour finir de comprendre pourquoi les établissements de santé sont la cible fréquente des attaques : l’étude ENISA indique qu’en 2021 seulement 27% des établissements de santé surveillés possédaient un programme de protection contre les rançongiciels et la majorité n’avait pas d’outils ou de programme de sensibilisation des personnels non-informaticiens.

Le chemin est long mais aussi vital, comme leur mission, pour les hôpitaux et autres opérateurs de services sensibles de s’équiper et d’opérer ces services de cyber protection.

Publié dans Smart DSI N°28