Trois mois : c’est le temps nécessaire aux entreprises pour acquérir les connaissances, les compétences et le jugement nécessaires pour se défendre contre les menaces de rupture.
Extrait d’une récente analyse réalisée par Immersive Labs auprès de 35 000 membres d'équipes de cybersécurité au sein de 400 grandes organisations, ce délai de 96 jours est quelque peu trompeur.
"L'augmentation du nombre de menaces sophistiquées oblige les organisations à trouver des moyens d'accroître les compétences plus rapidement et plus efficacement. Mais tout dépend de la menace", lit-on dans le rapport Cyber Workforce Benchmark d'Immersive Labs.
Le développement des connaissances, des compétences et du jugement est plus rapide face à des groupes de menaces très médiatisés. Les cinq premiers groupes d'intérêt sont UNC2452 (Solarwinds), Iranian Threat Groups, Fin 7, Hafnium et Darkside.
Quels secteurs se préparent le plus aux cyberattaques ?
Cette étude note surtout que la fréquence à laquelle les organisations effectuent des exercices de crise en matière de cybersécurité varie considérablement selon les secteurs.
Une analyse de 6 400 décisions de réponse aux crises montre que les entreprises de technologie et de services financiers sont celles qui se préparent le plus aux cyberattaques, organisant respectivement neuf et sept exercices par an. En revanche, les organisations d'infrastructures nationales critiques sont celles qui se préparent le moins, avec un seul exercice par an.
L’un des points les plus intéressants de cette étude est certainement le « score de performance moyen » de chaque secteur dans l'ensemble de ces exercices. Selon le rapport, « chaque décision distincte tout au long d'une simulation de crise se voit attribuer une note en fonction de sa capacité à résoudre la crise globale. Le score de performance en fait la synthèse ».
Immersive Labs a constaté que le score moyen global était de 68 %, mais qu'il variait considérablement d'un secteur à l'autre. Les secteurs de l'industrie, de l'éducation et de la technologie ont tous obtenu un score moyen d'au moins 80 %.
Par contre, les services financiers et les soins de santé se situaient tous deux en dessous de 50 %. Bonnet d’âne pour la santé avec un score de… 18 %.
Développer des cybercapacités humaines
Le rapport a également examiné le temps moyen nécessaire aux entités pour développer « les capacités humaines nécessaires pour vaincre les attaquants », également ventilé par secteur. M. Breen a évoqué certaines des conclusions de cette partie de l'étude.
Le rapport s'est également penché sur la sécurité des applications et a constaté que, dans l'ensemble, les équipes chargées de la sécurité des applications développent des cybercapacités humaines plus rapidement que les équipes chargées de la cybersécurité.
Il ne s'agit pas seulement d'appliquer un correctif lorsqu'il y a une vulnérabilité, mais aussi d'améliorer ses compétences. Selon cette étude, la référence en la matière est l'outil de vérification des dépendances de l'OWASP (Open Web Application Security Project).
Ce logiciel les a aidés à comprendre l'impact de la vulnérabilité sur leur propre environnement. Ils ont ensuite appris comment se défendre au mieux contre une attaque, avant d'apprendre comment un attaquant abuse de la vulnérabilité, et enfin de se former à la meilleure approche en matière de correctifs.
Tout cela s'est déroulé en une journée, mais il ne s'agit pas seulement de télécharger un correctif et de l'appliquer. Il y a bien d'autres choses à faire, le tout sous pression et dans un laps de temps très court. Le plus souvent, le vendredi ou pendant le week-end », souligne Kevin Breen, directeur de la recherche en cybermenaces chez Immersive Labs.