Gestion insuffisante des identités et privilèges, mauvaises configurations, vulnérabilités non corrigées, gestion déficiente des données en silos, coordination défaillante entre les équipes de sécurité et le service commercial, cette liste non-exhaustive montre l’ampleur des problèmes à régler. Une étude portant sur 100 responsables IT et cybersécurité, réalisée en 2023 par Forrester pour le compte de Tenable pointe, une fois de plus, les limites des stratégies de remédiation après les attaques plutôt que la mise en place d’une politique de prévention. L’adage « Mieux vaut prévenir que guérir » a du mal à s’imposer. D’après l’étude, 41 % des entreprises consultées restent vulnérables aux cyberattaques quand
62 % des répondants déclarent que l'équipe de cybersécurité est trop occupée à lutter contre les incidents critiques pour se pencher sérieusement sur une stratégie préventive. S’il est tentant de jeter la pierre, reste à préciser que les DSI et RSSI jonglent avec de très nombreuses contraintes, parfois contradictoires. « Notre étude confirme que les équipes de sécurité sont submergées par l'écrasant volume des cyberattaques qu'elles doivent contrer. Et plus la surface d'attaque devient complexe, plus ce déséquilibre s'accentue », explique Bernard Montel, EMEA Technical Director / Security Strategist chez Tenable.
Difficile pour les équipes de sécurité d’avoir une vision précise des risques face à la complexité des infrastructures, au multicloud et aux tensions entre métiers. Sur ce dernier point, il est intéressant d’apprendre que 24 % des personnes interrogées affirment que les équipes commerciales et techniques achètent et déploient des services cloud sans même en informer l'équipe de cybersécurité. D’autre part, 41 % des participants estiment que la coordination entre les équipes IT et de cybersécurité est difficile et chronophage.
L’aspect humain, pourtant essentiel, reste négligé
Le rapport 2023 Data Breach Investigations Report de Verizon est édifiant. Il apparait, notamment, que 74 % de toutes les violations d’identité comprennent un élément humain. Les personnes étant impliquées par erreur humaine, privilèges d’accès trop élevés, utilisation d'identifiants et mots de passe volés, ou encore via l’ingénierie sociale. Les attaquant font appel au sentiment de peur, d'urgence ou d'autorité pour obtenir des informations précieuses afin de contourner les défenses telles les EDR, XDR, parefeu, etc. Les campagnes de sensibilisation du personnel aux cyberisques et à la manipulation des salariés permettent de limiter les risques. Selon Verizon, en 2020, 52 % des vols de données provenaient de menaces internes. Qu'elles soient intentionnelles ou involontaire.Il reste encore des efforts à faire pour coordonner les échanges réellement effectifs entre la direction générale. D’après l’étude de Tenable/Forrester, une majorité de participants
(56 %) déclarent échanger tous les mois avec les chefs d'entreprise afin de faire le point sur les systèmes critiques, alors que 14 % n'organisent ce type de réunion qu'une
fois par an.
Au delà des interventions de résolution urgente des attaques, une attitude proactive tenant compte du volet humain reste indispensable.