Un nouveau rapport d'Enterprise Strategy Group (ESG) et de JupiterOne met en garde contre les pratiques inadéquates d'hygiène de cybersécurité. L’accumulation de solutions ne garantit pas un niveau élevé de sécurité. Elle complexifie la tâche.
Menée en ligne auprès de 398 professionnels de l'informatique et de la cybersécurité issus d'organisations des secteurs privé et public aux États-Unis, cette étude montre à quels points il y a un gap entre les déclarations et la réalité.
D’un côté, 86 % des entreprises pensent suivre les meilleures pratiques en matière d'hygiène de la sécurité. Cependant, 70 % d'entre elles déclarent utiliser plus de dix outils de sécurité, ce qui suscite des inquiétudes quant à la gestion des données et aux frais généraux d'exploitation.
En outre, 73 % des professionnels de la cybersécurité ont admis qu'ils s’appuyaient encore des feuilles de calcul pour gérer les bonnes pratiques de sécurité dans leur organisation.
En conséquence, 70 % d’entre eux ont déclaré que ces processus étaient devenus plus difficiles à contrôler et à maitriser au cours des deux dernières années en raison de l'augmentation de leurs surfaces d'attaque, surtout lorsqu’il s’agit de réseau distribué.
Des données sensibles dans des emplacements jusque-là inconnus !
Globalement, les rapports de cybersécurité sont trop souvent informels, désorganisés et immatures. Cette étude brosse un portrait qui est loin des idéaux reposant sur des technologies d'intégration plus poussées, des analyses avancées et l'automatisation des processus.
L'enquête a également mis en évidence les difficultés à gérer efficacement les failles : près d'un tiers des personnes interrogées (31 %) ont déclaré avoir découvert des données sensibles dans des endroits jusque-là inconnus, et 30 % ont trouvé des sites Web qui menaient à leur organisation.
En outre, 29 % ont découvert des informations d'identification d'employés ou des autorisations d'utilisateurs mal configurées, tandis que 28 % ont découvert des applications SaaS inconnues.
Le plus troublant est peut-être le fait que 69 % des organisations ont admis avoir subi au moins une cyberattaque qui a commencé par l'exploitation d'un actif inconnu ou non géré orienté vers l'Internet, y compris les logiciels, les workloads basées sur le cloud, les comptes d'utilisateurs et les appareils IoT.
Augmentation des budgets
Principale conclusion de ce désordre ambiant : 80 % des organisations prévoient d'augmenter leurs dépenses en matière de sécurité et de gestion des risques dans les 18 prochains mois. Une autre étude note que les RSSI estiment que leur budget est trop faible.
Les domaines prioritaires du budget comprennent les outils de sécurité des données (31 %), les outils de quantification des cyber risques (30 %) et l’administration de la sécurité du cloud (28 %).