Sergey Nivens - Fotolia
10ème étude CyberArk sur la cybersécurité : la prise de conscience est là, pas la maturité
La dixième édition de l’étude CyberArk sur la gestion de la sécurité informatique tend à mettre en évidence des avancées. Mais le chemin qui conduira à des approches réellement efficaces apparaît encore long.
En introduction de la dixième édition de son étude sur la gestion de la sécurité informatique en entreprise, CyberArk estime que « la prise de conscience progresse, mais que les mauvaises habitudes persistent ». Mais l’éditeur apparaît là plutôt tendre.
Oui, près de 80 % des sondés l’assurent : leur organisation a retiré toutes les leçons de ces incidents de sécurité de plus en plus médiatisés. Et de « prendre les mesures appropriées » pour améliorer sa posture. Mais concrètement, de quelles mesures s’agit-il ? Le déploiement audacieux d’une défense résolument en profondeur, centrée sur la détection des attaquants après la compromission initiale, et sur la protection de l’information ? Pas vraiment.
Ce que décrivent ces professionnels apparaît, au moins de prime abord, très classique avec, pour 25 %, le déploiement d’outil de détection de logiciels malveillants, et pour 24 %, celui de solutions de protection du poste de travail – dont l’esprit le plus chagrin aura l’optimisme d’imaginer qu’il s’agit de modernisation de l’existant, et non pas de déploiement initial. L’analytique de sécurité n’est évoquée que par 16 % des sondés. Pire, la gouvernance des identités et des accès ou encore le recours à un système de gestion des informations et des événements de sécurité ne sont évoqués, chacun, que par 11 %.
En fait, il apparaît que l’essentiel des efforts sont concentrés sur la protection périmétrique. Selon 71 % des sondés, le budget lui étant consacré a progressé au cours des 12 derniers mois. Les experts qui s’évertuent depuis des années à expliquent que la sécurité périmétrique a montré ses limites, voire imaginent des modèles radicalement différents, inspirés par exemple de celui de l’aéroport, prêcheraient-ils finalement dans le désert ? « Pas faux », reconnaît Jean-Christophe Vitu, directeur avant-vente et services professionnels chez CyberArk, tout en ajoutant qu’il ne serait « pas aussi catégorique ».
Mais le plus surprenant est peut-être la perception de la menace que trahissent certaines réponses. Ainsi, pour 41 % des sondés, c’est à l’installation de logiciel malveillant qu’il est le plus difficile de contenir une attaque informatique. Seuls 10 % des sondés s’inquiètent de la phase de reconnaissance, et 25 % du détournement de comptes à privilèges…
Reste que derrière la posture responsable affichée en façade, les pratiques restent questionnables. 90 % des sondés assurent avoir mis en place de nouvelles mesures de gestion des comptes à privilèges, ou prévoir de le faire. Mais 68 % stockent encore les identifiants de ces comptes dans des fichiers bureautiques – stockés en local ou sur serveur/clé USB –, voire sur un bout de papier. Et cela même si 71 % des sondés assurent disposer d’une solution de protection des comptes à privilèges. Jean-Christophe Vitu relève là devoir parfois retourner chez ces clients pour faire de la pédagogie en matière de bonnes pratiques, soulignant que si certaines ne sont pas suivies, une solution d’enregistrement de sessions d’administration ne sert peut-être pas à grand-chose en définitive…
Mais si les décideurs IT ont pris conscience de la menace, ils semblent toujours largement s’imaginer qu’elle ne les concerne pas. 56 % assurent ne pas croire qu’un attaquant a infiltré leur infrastructure au cours des 12 derniers mois. Certes, il apparaît raisonnable de penser que le RSSI de Yahoo n’imaginait pas non plus que son système d’information avait été compromis. Mais l’histoire ne lui aura pas donné raison. Pour Jean-Christophe Vitu, les entreprises ne se rendent tout simplement pas compte qu’elles peuvent être attaquées non pas pour ce qu’elles représentent en direct, mais pour le point d’entrée qu’elles peuvent constituer vers une autre cible. Car pour la viser, « l’attaquant va chercher quoi ? Le maillon le plus faible ».
Mais en fait, c’est bien de maturité que les entreprises semblent finalement manquer. Car la principale préoccupation liée à une éventuelle brèche de sécurité, ce sont les amendes prévues par les lois et règlements (citées par 22 % des sondés), tout juste devant les frais de justice (19 %). La perte de chiffre d’affaires, par exemple, n’arrive qu’en quatrième position, loin devant la perturbation de la fourniture des services IT. Et justement, pour Jean-Christophe Vitu, « il y a vraiment un avant et un après lorsque l’on vit un grave incident de sécurité. Devoir arrêter son informatique pendant 5 jours, cela a un impact financier que l’on ne se représente pas. Après un grave incident, la mentalité des dirigeants change, parce qu’ils ne veulent pas que cela se produise une seconde fois ».
Mais en attendant que la maturité ne survienne, « il reste du chemin à parcourir entre prise de conscience et préparation contre les attaques », relève CyberArk dans son rapport. Un chemin qui apparaît encore bien long. Pour son étude, l’éditeur a interrogé 750 décideurs IT et SSI à travers le monde.