Tenable, The Exposure Management Company, dévoile une étude sur les défis auxquels sont confrontés les responsables de la cybersécurité et de l’informatique en France, pour protéger leur surface d’attaque de plus en plus complexe et en expansion. Les résultats révèlent que 70 % des sondés pensent que leur entreprise parviendrait à mieux se défendre contre les cyber-attaques si elle allouait plus de ressources à la cyber-sécurité préventive. Et pourtant, 62 % déclarent que leur équipe de cyber-sécurité est trop occupée à résoudre les incidents critiques pour adopter une approche préventive visant à réduire l’exposition de l’entreprise.
Cette étude est basée sur une enquête réalisée auprès de 100 responsables informatiques et cybersécurité en France et menée par le cabinet Forrester Consulting pour le compte de Tenable. Son rapport révèle une statistique alarmante : 41 % des cyber-attaques lancées contre des entreprises françaises ces deux dernières années ont réussi (ce taux est de 45% aux États-Unis et de 48 % au Royaume-Uni). Cela contraint les équipes de sécurité à concentrer leur temps et leurs efforts sur la remédiation de ces cyber-attaques au moment où elles se produisent, plutôt que sur leur prévention. Seules 57 % des entreprises françaises ont confiance en leurs pratiques de cyber-sécurité pour réduire leur risque d’exposition, ce qui laisse une nette marge de progression.
Sur 10 entreprises interrogées, 7 déclarent utiliser un environnement multicloud et/ou cloud hybride. Cependant, la majorité des sondés (66 %) citent l’infrastructure cloud comme l’une des principales sources d’exposition aux risques dans leur entreprise. Sont ainsi perçus comme les risques les plus élevés, dans l’ordre : le recours à une infrastructure cloud publique (28 %), au multicloud et/ou cloud hybride (25 %) et à une infrastructure cloud privée (14 %).
Pour les professionnels de la cyber-sécurité, cette passivité est largement due aux difficultés que rencontre leur entreprise à obtenir une vision précise de leur surface d’attaque. Plus de la moitié des sondés (55 %) attribuent à une hygiène insuffisante des données leur incapacité à extraire des informations de qualité depuis les systèmes de gestion des accès et des privilèges utilisateur, et les systèmes de gestion des vulnérabilités. Bien que la plupart des personnes interrogées (77 %) déclarent prioriser la remédiation/correction des vulnérabilités en fonction des privilèges d’accès et de l’identité utilisateur, 45 % affirment que leur entreprise ne dispose pas d’un moyen efficace d’intégrer ces données dans leurs pratiques de gestion de l’exposition et de cyber-sécurité préventive.
Le manque de communication au plus haut niveau complique également, voire aggrave, le problème de la cyber-sécurité au sein des entreprises. Tandis que les attaquants évaluent en permanence les environnements, 56 % déclarent échanger tous les mois avec leur dirigeant afin de faire le point sur les systèmes critiques, alors que 14 % n’organisent ce type de réunion qu’une fois par an, voire jamais pour 2 % d’entre eux.
« Même si la réduction du cyber-risque doit être la priorité, cela semble plus facile à dire qu’à faire. Notre étude confirme que les équipes de sécurité sont submergées par l’écrasant volume des cyber-attaques qu’elles doivent contrer. Et plus la surface d’attaque devient complexe, plus ce déséquilibre s’accentue », déclare Bernard Montel, EMEA Technical Director / Security Strategist chez Tenable. « Quelque chose doit changer si l’on veut endiguer ces vagues d’attaques. Il faut impliquer les responsables de la sécurité dans la prise de décisions stratégiques. C’est seulement à cette condition qu’une entreprise peut espérer réduire le risque et prendre les mesures nécessaires pour relever les défis qui se présenteront. »