Selon une étude publiée par CrowdStrike, 162 heures sont en moyenne nécessaires aux entreprises pour détecter une faille de sécurité et y remédier. Ce breakout time très élevé a un impact d’autant plus fort sur l’activité des organisations que ces dernières n’ont pas une politique de sécurité adaptée et proactive.
Le temps c’est de l’argent. Être réactif est indispensable pour satisfaire ses clients, mais aussi pour assurer sa résilience en détectant le plus rapidement possible des vulnérabilités ou des intrusions.
En la matière, les entreprises sont loin d’être réactives. Selon l'étude CrowdStrike Global Security Attitude Survey 2019 (reposant sur les réponses de 1 900 décideurs et professionnels de la sécurité informatique), le processus de détection, de traitement/sélection, d’enquête et de confinement d'un incident de cybersécurité dure près de sept jours.
La règle du 1:10:60
Près de 30 heures sont en moyenne utilisées pour contenir un incident de cybersécurité après qu'il a été détecté. Pire, la majorité des personnes interrogées (80 %) déclarent avoir été incapables d'empêcher des attaquants ayant pénétré leur réseau d'accéder à des données ciblées au cours des 12 derniers mois.
Pour 44 % d'entre elles, la lenteur de la détection en est la cause. Les entreprises dans les grands secteurs industriels ne sont pas suffisamment préparées pour gérer le délai de pénétration.
Ce délai appelé breakout time (ou temps de propagation) correspond à la fenêtre critique qui s'écoule entre le moment où un intrus infecte la première machine et le moment où il peut se déplacer latéralement vers d'autres systèmes connectés au réseau.
Pour CrowdStrike, les entreprises les plus proactives en matière de cybersécurité sont invitées à adopter la règle du 1:10:60 : 1 minute pour détecter une menace, 10 pour l'investiguer, et 60 pour contenir un incident et y remédier.
Malheureusement, à l'heure actuelle, 95 % des personnes interrogées ne répondent pas à ce standard. Seulement 11 % des entreprises interrogées peuvent détecter un intrus en moins d'une minute, 9 % investiguer un incident en 10 minutes, et 33 % contenir un incident en 60 minutes. Seulement 5 % des entreprises interrogées maîtrisent cette nouvelle règle de trois.
Multiplication des attaques visant la supply chain
Concernant les différents types d'attaques, les préoccupations des entreprises sont également variables, voire inadaptées au contexte. C’est le cas pour la sécurité de la supply chain. Les préoccupations des entreprises pour ce maillon essentiel ont diminué à l'échelle mondiale, reculant en moyenne de 33 % en 2018 à 28 % en 2019. Or, le pourcentage d'entreprises dont la chaîne logistique a subi de multiples attaques a été multiplié par deux en un an, passant de 16 à 34 %.
Dans le même ordre d'idées, le nombre d'entreprises acceptant de verser une rançon pour reprendre le contrôle de données chiffrées lors d'une attaque lancée contre leur chaîne logistique logicielle a également presque triplé, passant de 14 à 40 %.
Selon les conclusions de l'enquête, plus de 50 % des entreprises opérant dans les secteurs de l'agroalimentaire, de l'hôtellerie, des divertissements et des médias ont payé une rançon au cours des 12 derniers mois afin de récupérer des données chiffrées lors d'une attaque de leur chaîne logistique logicielle.
Casse-tête des correctifs
Enfin, 83 % des personnes interrogées estiment que les attaques commanditées par des États-nations constituent un danger évident pour les entreprises de leur pays ; les personnes interrogées en Inde (97 %), à Singapour (92 %) et aux États-Unis (84 %) déclarent se sentir particulièrement exposées à ce type de menaces.
L’étude de CrowdStrike dresse un paysage très préoccupant. Il y a quelques mois, le rapport « Prioritization to Prediction. Volume 3 : Winning the Remediation Race » de Kenna Security et du Cyentia Institute avait constaté qu’en moyenne il faut 26 jours pour corriger un quart des failles, 100 jours pour atteindre la moitié et presqu’un an pour atteindre 75 %.
La détection des attaques et la gestion des failles sont un casse-tête. Et à ce petit jeu entre ennemis, les entreprises ne sont pas gagnantes !
Source : CrowdStrike