Spécialisée dans l’évaluation de la cybersécurité des fournisseurs et des partenaires, CyberVadis a conduit fin 2020 une étude auprès de 680 entreprises réparties à travers 56 pays. Objectif : mesurer le niveau de préparation des entreprises en vue de ces pratiques de travail hybrides.
Passée l’urgence des débuts de la pandémie, les entreprises doivent maintenant établir une solide organisation de travail hybride, entre présentiel et distanciel. Cette politique doit permettre de renforcer la protection des actifs et des réseaux.
Selon cette enquête menée par cette entreprise française, 42 % des entreprises ont intégré cet enjeu puisqu’elles ont mis en place des méthodes d’authentification forte pour gérer les accès à distance de leurs employés et tiers.
Par contre, seul un quart (26 %) des organisations interrogées autorisent l’accès au réseau interne uniquement aux appareils professionnels. Autrement dit, près de trois quarts des entreprises ne possèderaient donc toujours pas de systèmes permettant de vérifier que des appareils non autorisés n’accèdent pas à leurs réseaux et actifs.
Concernant les appareils gérés par l'entreprise, les mesures pourtant considérées comme standard, ne semblent pas largement mises en œuvre. Par exemple, 36 % des entreprises interrogées chiffrent leurs postes de travail, 24 % bloquent l’utilisation de ports USB et seulement 12 % évaluent, testent et valident les correctifs en amont de leur application, ce qui reste bien trop peu dans un contexte de surface d’attaque étendue.
Autre point d’inquiétude, 28 % des entreprises ont une autorisation de processus d'attribution d'appareils personnels avec accès aux systèmes d'information. Seuls 15 % des répondants déclarent avoir effectué des contrôles de sécurité sur les appareils non gérés par l'entreprise avant de laisser ces derniers se connecter au réseau interne. Et ce, malgré un risque lié à l’utilisation de cet appareil par des membres du foyer.
Le risque est d’autant plus important que 43 % des entreprises indiquent ne conduire des campagnes de sensibilisation à la sécurité que de manière périodique, laissant les employés seuls face aux attaques de phishing la majeure partie du temps.
Enfin, seul un tiers (34 %) des entreprises évaluent l’engagement contractuel de leurs fournisseurs et partenaires tiers périodiquement. Et 25 % gèrent les risques de leurs fournisseurs de cloud.
« Face aux cyberattaques de plus en plus nombreuses, il est indispensable d’évaluer le niveau de vulnérabilité non seulement de ses propres systèmes, mais de l’ensemble de l’écosystème d’une entreprise pour se prémunir contre des pertes ou des vols de données critiques, explique Estelle Joly, VP Strategy & Operations chez CyberVadis. Si une organisation est mature dans la gestion de sa cybersécurité, mais que ses partenaires, fournisseurs ou employés en télétravail ne le sont pas, ils constituent une porte d’entrée pour les potentiels attaquants. »
Note positive, de nombreuses entreprises sont en train de rattraper leur retard et un grand nombre de pratiques en matière de sécurité. Les organisations doivent disposer d’une vision du risque cybersécurité précise et argumentée sur l’ensemble de leurs infrastructures, mais aussi sur leurs fournisseurs, partenaires ou encore consultants externes, pour être en mesure de maintenir leur activité et de lutter contre les cyberattaques.