Crédit :CC0 Domaine public
Les cyberattaques gagnent en importance chaque jour ; En réalité, 2017 a été la pire année à ce jour pour les violations de données, le nombre de cyberincidents ciblant les entreprises ayant presque doublé entre 2016 et 2017.
Maintenant, une nouvelle recherche de la UBC Sauder School of Business a quantifié les niveaux de sécurité de plus de 1, 200 entreprises panasiatiques afin de déterminer si une prise de conscience accrue de ses niveaux de sécurité conduit à une amélioration des niveaux de défense contre la cybercriminalité.
L'étude a révélé que lorsque les cyberattaques étaient moins susceptibles de nuire directement à une entreprise, les organisations étaient peu susceptibles de donner la priorité aux améliorations de la sécurité. Les entreprises étaient plus susceptibles de résoudre les problèmes liés aux courriers indésirables provenant de leurs ordinateurs compromis, mais n'ont pas agi lorsqu'ils ont découvert qu'ils hébergeaient des sites Web de phishing sur leurs serveurs. La plupart des entreprises ayant des sites Web de phishing hébergent en fait des fournisseurs de services.
Les chercheurs ont mené une expérience de terrain randomisée sur des organisations à Hong Kong, Chine, Singapour, Macao, Malaisie et Taïwan, qui ont été choisis pour leur développement économique important ainsi que pour l'adoption rapide des technologies. L'expérience a évalué la préparation de chaque organisation par rapport à deux problèmes de sécurité distincts :les émissions de spam et l'hébergement de sites Web de phishing. Le spam consiste généralement en des messages en masse non sollicités envoyés par des ordinateurs "zombies" compromis contrôlés par des cyber-attaquants, tandis que le phishing fait référence à l'obtention frauduleuse d'informations sensibles, tels que les mots de passe et les détails de la carte de crédit pour des raisons malveillantes.
« Pour les entreprises qui hébergent des sites Web de phishing, il y avait moins d'incitations à sévir contre les sites car ils étaient exploités par des clients payants et les sites n'ont pas eu d'impact négatif sur l'entreprise elle-même, " explique Gene Moo Lee, co-auteur de l'étude et professeur adjoint de comptabilité et de systèmes d'information à la UBC Sauder School of Business.
Les chercheurs ont développé et attribué un score de sécurité de l'information, similaire à l'idée des notations de crédit de Moody's et Standard and Poor's, à chaque organisation. Le score peut être utilisé comme indicateur des vulnérabilités de sécurité de chaque organisation.
Les résultats de sécurité de chaque entreprise ont ensuite été publiés en ligne. Selon Lee, la publicité des niveaux de sécurité des entreprises conduit non seulement à une plus grande transparence, mais il pourrait aussi être utilisé pour renforcer leur sécurité dans le temps. En outre, les organisations dont les performances sont médiocres pourraient faire face à une pression accrue de la part de leurs clients et à une perte de réputation.
"Le nombre toujours croissant de cyberattaques a motivé mes co-auteurs et moi-même à explorer un moyen plus efficace d'améliorer la sensibilisation à la sécurité des organisations et du grand public, " explique Lee. " En établissant un système de classement des entreprises contre les escroqueries en ligne, nous espérons que cela augmentera la prise de conscience des entreprises pour résoudre les problèmes de sécurité sous-optimaux. »
Pour Lee, la cybersécurité est une préoccupation internationale qui doit être gérée plus efficacement. « De nombreuses organisations ne comprennent pas les menaces posées par l'émergence, cyberattaques sophistiquées et adoptent généralement une approche attentiste dans les investissements de sécurité jusqu'à ce qu'un énorme incident de sécurité les affecte de manière significative, ", a-t-il déclaré. "Notre espoir avec cette recherche est que les entreprises améliorent leurs niveaux de sécurité pour empêcher le potentiel de cyberattaques de se produire en premier lieu. Et, finalement, L'objectif de notre recherche est de fournir des informations aux décideurs politiques en matière de cybersécurité. »
« Divulgation de l'information et conception de la politique de sécurité :une expérience de randomisation à grande échelle dans la région panasiatique » a récemment été présentée lors de l'atelier sur l'économie de la sécurité de l'information. Il a été co-écrit par Yun-Sik Choi et Andrew B. Whinston de l'Université du Texas à Austin, Shu He de l'Université du Connecticut, et Yunhui Zhuang et Alvin Chung Man Leung de l'Université de la ville de Hong Kong.