Pour les experts, la sécurité des identités est un élément clé de la cyberrésilience. Un enjeu majeur ! Mais si 63 % des entreprises interrogées par CyberArk reconnaissent avoir été victimes d’une attaque ciblant les identités, il est probable que ce pourcentage soit nettement plus élevé…
En effet, les cybercriminels continuent de viser et d’infecter les identités avec succès sur une grande échelle. Mais l’élargissement de la surface d’attaque, la complexité croissante des environnements informatiques et la multiplication des obstacles organisationnels contribuent à cette généralisation des lacunes affichées par les entreprises en matière de sécurité des identités.
Or selon les résultats d’une étude de CyberArk, seuls 9 % des organisations adoptent une approche agile, holistique et mature pour sécuriser les identités dans leurs environnements hybrides et multicloud.
Publiée sous le titre « The Holistic Identity Security Maturity Model: Raising the Bar for Cyber Resilience », cette étude a été menée auprès de 1 500 professionnels de la cybersécurité.
Des politiques pas matures
À partir des réponses obtenues, le modèle basé sur des données a identifié 9 % des entreprises comme ayant déployé les stratégies de sécurité des identités les plus matures et les plus holistiques.Ces entreprises innovantes se concentrent pleinement sur la mise en œuvre d’outils de sécurité des identités, font preuve d’une agilité intrinsèque et se caractérisent par une approche fondée sur la capacité à se relever rapidement de leurs échecs, même après avoir été victimes d’une cyberattaque.
Toutefois, 42 % des programmes de sécurité des identités mis en place par les entreprises interrogées sont loin d’être matures, et ne disposent pas des outils et des intégrations indispensables pour neutraliser rapidement les risques qui pèsent sur les identités.
La lecture de ce rapport permet de relever quelques constats majeurs.
Un écart entre la stratégie déployée et les résultats obtenus
69 % des hauts dirigeants (CEO, CFO, CTO, etc.) estiment prendre les bonnes décisions en matière de sécurité des identités, contre 52 % de l’ensemble des effectifs (décideurs techniques et praticiens).Cet écart souligne la perception selon laquelle la sécurité dans son ensemble peut être atteinte en effectuant les bons investissements technologiques. Ce n’est toutefois qu’une partie de l’équation.
« En effet, il est tout aussi important de maximiser ces investissements sur un plan stratégique en incluant l’implémentation et l’intégration aux environnements existants, ainsi que de supprimer les silos et d’améliorer la formation », lit-on dans ce document.
Des données hétérogènes sur les terminaux
Pour 92 % des personnes interrogées, la sécurité des terminaux, la confiance accordée aux appareils ou la gestion des identités sont des paramètres primordiaux dans le déploiement d’une stratégie Zero Trust robuste, tandis que 65 % estiment que la capacité à corréler les données est essentielle pour assurer avec efficacité la sécurité des terminaux.Des efforts fragmentés
Un peu plus de la moitié des entreprises interrogées disposent de deux équipes en charge de la sécurité des identités - sur site et dans le cloud - et utilisent plusieurs solutions indépendantes, ce qui complique la compréhension de leur posture de sécurité en temps réel.« Cette étude met en lumière la relation entre une solide stratégie de sécurité des identités et l’amélioration des résultats métier, explique Jack Poller, senior analyst chez Enterprise Strategy Group (ESG). Des évaluations de maturité menées à intervalles plus fréquents et plus réguliers permettent aux bonnes personnes d’accéder aux bonnes données, et aider les entreprises à agir avec une vélocité suffisante pour éviter que des menaces n’interrompent leurs activités. »