olly - Fotolia

Cyber-résilience : les entreprises peuvent encore (bien) mieux faire

EY estime que les entreprises progressent mais certains domaines, et tout particulièrement celui de la réaction à incident, nécessitent encore d’importants efforts.

Dans la nouvelle édition de son étude sur la posture de sécurité informatique des entreprises, EY affiche un certain optimisme, estimant que « les organisations avancent dans la bonne direction ». Mais pas forcément de leur plein gré : la pression réglementaire joue un rôle non négligeable dans leurs efforts d’amélioration de leur posture de sécurité. Mais tout n’est pas brillant et les sondés – plus de 1700 responsables informatiques et de la sécurité IT du monde entier  – reconnaissent à 86 % ne pas être pleinement confiants dans le niveau de cybersécurité de leur organisation. Il faut dire que 44 % d’entre eux n’ont pas encore de centre de sécurité opérationnel (SOC), ou encore que 64 % n’ont pas de programme de renseignement sur les menaces formel. Plus de la moitié ne dispose pas plus de capacités formelles d’identification de vulnérabilités. D’ailleurs, pour EY, il n’y a pas encore assez d’organisation qui font attention « à ce qui devrait aujourd’hui relever de la base ».

Tout aussi préoccupant, 62 % des sondés estiment que leur organisation ne consentirait pas à relever ses dépenses en cybersécurité en cas d’attaque n’ayant apparemment pas provoqué de dégâts. Et pourtant, « dans la plupart des cas, il y a des dommages, mais il n’y en a pas d’indication immédiate. Les cybercriminels conduisent régulièrement des attaques test, restent dormants après une brèche, ou utilisent une brèche comme diversion ».

Et l’idée de chaîne d’attaque ne semble pas non plus avoir pleinement fait son chemin. Loin de là : 68 % des sondés indiquent qu’ils n’augmenteraient pas leurs dépenses de sécurité si l’un de leurs fournisseurs était attaqué. Même chose pour 58 % des sondés en cas d’attaque contre l’un de leurs principaux concurrents.  

Le partage de renseignement semble également pouvoir considérablement progresser : seulement 49 % des sondés disposant d’un SOC partagent des informations avec d’autres, au sein du même secteur d’activité, et 38 % avec des SOC publics.

Des préoccupations nombreuses

Faut-il y voir l’effet de la multiplication des rançongiciels ou des arnaques et attaques par hameçonnage plus ou moins ciblé ? Quoiqu’il en soit, 55 % des sondés estiment que le manque de prudence ou de sensibilisation des utilisateurs qui a fait progresser leur exposition au risque au cours des douze derniers mois. Devant des architectures ou des contrôles de sécurité dépassés (48 %) ou un contrôle des accès inapproprié (54 %). Et phishing et logiciels malveillants sont identifiés comme principales menaces (51 % et 52 % respectivement), loin devant les attaques internes, mais également les attaques externes visant à voler des données, des informations financières ou de la propriété intellectuelle.

Et les sondés sont sévères dans leur appréciation de leurs capacités à résister à des attaques : seulement 29 % estiment que leurs processus de sécurité applicative sont matures, contre 38 % pour la supervision de la sécurité, 38 % pour la gestion d’incidents, et autant pour celle des identités et des accès. C’est la sécurité réseau qui tire son épingle du jeu, avec 52 % de sondés estimant là leurs processus matures. Mais pour EY, « les niveaux de maturité sont encore trop bas dans de nombreux domaines critiques ».

Budgets et compétences restent des obstacles

Les contraintes budgétaires et le manque de ressources qualifiées continuent d’être mentionnées comme premières limites à l’amélioration de la posture de sécurité, citées respectivement par 61 % et 56 % des sondés. Pour autant, plus de la moitié des sondés indiquent que leurs budgets sécurité ont progressé au cours des 12 derniers mois. Mais 86 % des sondés estiment qu’ils auraient besoin de beaucoup plus… jusqu’à 50 % de plus que leur budget actuel.

EY indique que « seulement 64 % dépensent aujourd’hui moins de 2 M$ » chaque année pour leur cybersécurité, et qu’il y a eu « une augmentation du nombre d’organisations dépensant entre 10 et 50 M$.

Mais ce n’est pas tout. Avec toujours environ un tiers de sondés déplorant un manque de soutien de leur direction, l’efficacité des initiatives de cybersécurité peut être pénalisée. Au passage, on relèvera que 75 % des sondés ne sont pas membres du conseil d’administration.

Reste que l’information des directions semble encore insuffisante pour véritablement les impliquer : selon EY, seulement 25 % des sondés communiquent sur un niveau de menace global, et 35 % sur les améliorations nécessaires. Pire : 89 % des organisations n’évaluent pas l’impact financier de tous les incidents significatifs, et 49 % n’en ont pas la moindre idée.

Former et sensibiliser

Au cours des 12 prochains mois, les sondés prévoient en priorité d’investir pour renforcer leurs capacités de continuité de l’activité et leur résilience en cas d’incident, mais également de prévention des fuites de données. La sensibilisation et la formation à la sécurité informatique arrivent en troisième position. 49 % des sondés prévoient d’ailleurs de dépenser plus dans ce domaine. SIEM et SOC arrivent en seconde position des accroissements budgétaires – cités par 46 % des sondés. Pour autant, ils n’arrivent qu’en sixième position des priorités à venir, derrière la gestion des identités et des accès, mais devant les capacités de réponse à incident.

D’ailleurs, la préparation à réagir semble encore limitée. Ainsi, 42 % des sondés indiquent ne pas avoir de plan de communication prêt en cas d’incident. Près de la moitié assurent toutefois que leurs clients ne seraient pas informés, même si certaines de leurs données sont concernées. Et 56 % laisseraient également leurs fournisseurs dans l’ignorance, même si leurs données sont compromises. En fait, pour EY, la réaction à incident « est le domaine où il y a encore le plus de travail à fournir ».

  

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)