Etude : la plupart des entreprises sont vulnérables aux menaces avancées
Selon une étude réalisée par RSA, la plupart des entreprises ne sont pas préparées pour faire face aux menaces avancées et pour y réagir.
La plupart des organisations ne respectent pas les bonnes pratiques en matière de réponse aux incidents et ne sont pas bien préparées pour faire face aux menaces avancées.
C’est du moins ce que révèle une étude réalisée par RSA, la division sécurité d’EMC, qui a comparé les résultats d’un sondage effectué dans 30 pays sur la préparation aux incidents de sécurité, avec un autre sondage, celui des RSSI de 1000 entreprises membres du conseil de sécurité pour l’innovation business, le Security for Business Innovation Council (SBIC).
L’étude de RSA s’est concentrée sur des indicateurs relatifs à la réaction à incident, au renseignement sur les contenus, au renseignement analytique, et au renseignement sur les menaces.
Des processus de réaction trop peu formalisés
Selon RSA, la réponse à incident est une capacité clé qui nécessite d’être développée et constamment aiguisée pour effectivement faire face à une cybercriminelle croissante.
Mais l’étude du spécialiste de la sécurité a montré que les organisations continuent de peiner à adopter les technologies et les bonnes pratiques qui vont leur permettre de détecter, réagir et contrecarrer plus efficacement des attaques susceptibles de se transformer en incidents de sécurité fortement préjudiciables.
Concrètement, l’étude de RSA a montré que tous les membres du SBIC ont développé une fonction de réponse à incident. Mais un tiers des 170 répondants non membres de ce conseil n’ont pas de plan de réponse formel. Et 57 % de ceux qui en ont un ne l’examinent pas régulièrement, ni ne l’actualisent. De leur côté, 67 % des membres du SBIC utilisent ouvertement le renseignement et les leçons tirées d’incidents de sécurité pour améliorer leurs processus de réaction.
Une connaissance limitée des actifs
Dans l’étude, la notion de renseignement sur les contenus vise à mesure le niveau de maturité des organisations en matière d’outils, de technologies et de processus déployé pour identifier et surveiller les actifs informationnels critiques.
Là encore, tous les membres du SBIC ont développé des capacités de collecte de données et d’alerte centralisée sur les contenus. Mais 55 % des entreprises non membres de ce conseil n’ont pas ces capacités et s’avèrent donc aveugles à certaines menaces.
Quelques 92 % des membres du SBIC utilisent des données de criticité des données et/ou de vulnérabilités dans le cadre de leurs opérations quotidienne et de la gestion d’incidents, contre seulement 60 % des non membres.
Un suivi des incidents encore restreint
L’étude de RSA souligne par ailleurs la difficulté à identifier les faux positifs : seulement la moitié des sondés non membres du SBIC ont ainsi mis en place un plan formel pour l’identification des faux positifs. Quant à 90 % des membres du SBIC, ils disposent de technologies automatisées et de processus pour mettre à jour les informations et réduire le risque de nouveaux incidents.
Selon l’étude, la plupart des organisations reconnaissent que la seule collecte de logs via un système de gestion des informations et des événements de sécurité (SIEM) n’offre qu’une visibilité partielle sur leur environnement.
Dans le cadre de l’étude RSA, 72 % des répondants non membres du SBIC ont indiqué avoir accès à des études à posteriori sur des logiciels malveillants ou sur les postes de travail. Mais seulement 42 % disposent de capacités d’investigation plus élaborées, recouvrant notamment la captation de paquets et l’analyse des flux réseau. A l’inverse, 83 % des membres du SBCI ont accès à des capacités d’analyse des flux réseaux en temps réel.
Un renseignement sur les menaces trop peu développé
Selon RSA, le renseignement sur les menaces constitue également une activité clé pour permettre aux organisations de rester informées des tactiques et des motivations des cybercriminels. Pour autant, seulement 43 % des non membres du SBIC utilisent des sources externes de renseignement sur les menaces pour compléter leurs efforts. A l’inverse des membres du SBIC qui y ont tous recours. 83 % d’entre eux utilisent en outre ces données dans le cadre de leurs opérations de sécurité quotidiennes.
Enfin, l’étude relève que, bien que les vulnérabilités anciennes continuent de faire beaucoup de dégâts, seulement 60 % des non membres du SBIC ont un programme de gestion des vulnérabilités en place. A l’inverse, encore une fois, des membres du SBIC, qui en sont tous dotés.
Avec cette étude, RSA a cherché à fournir un regard quantitatif sur les pratiques de sécurité réellement employées dans les entreprises, tout en fournissant des conseils du SBIC.
Pour Dave Martin, directeur confiance de RSA, l’enjeu est devenu essentiel : « les entreprises s’orientent de plus en plus vers le numérique et la sécurité de l’information est devenu un domaine clé du risque opérationnel. Mais si beaucoup d’entreprises pensent avoir un bon contrôle sur leur sécurité, c’est souvent sans lien avec une stratégie plus vaste de gestion du risque opérationnel. Ce qui limite la visibilité sur le profil de risque réel ».
Pour Den Doyle, RSSI de Thales pour l’Australie et la Nouvelle-Zélande, les personnes et les processus sont plus critiques que la technologie lorsqu’il s’agit de réagir à des incidents : « l’équipe de sécurité opérationnelle doit clairement définir les rôles et les responsabilités pour éviter la confusion au moment crucial ».
Adapté de l’anglais.