61 % des entreprises françaises modifient rarement leur stratégie de sécurité de manière significative, même après avoir été victimes d’une cyberattaque !
En matière de cybersécurité, les entreprises françaises, comme leurs homologues dans le monde, sont confrontés à de nombreuses menaces, qui de plus ne cessent de croître :
- 53 % - Des attaques ciblées par hameçonnage ;
- 49 % - Les comptes à privilèges non sécurisés ;
- 44 % - Des menaces internes ;
- 31 % - Des données non sécurisées stockées sur le cloud ;
- 28 % - Des ransomwares et logiciels malveillants.
Par ailleurs, selon une étude annuelle de CyberArk, la proportion d’utilisateurs qui disposent de privilèges administratifs locaux sur leurs terminaux a progressé de 25 % en l’espace de deux ans, passant de 65 % en 2016 à 90 % en 2018. Avec en corolaire que les exigences des employés en matière de flexibilité l’emportent sur les bonnes pratiques de sécurité...
La passivité, un danger pour les données
De nombreuses entreprises n’ont pas de stratégie de cybersécurité et n’ont pas la capacité à repousser ou maîtriser les cybermenaces, ainsi que les risques induits.
En France, sur les entreprises interrogées :
- 57 % se déclarent incapables d’empêcher les tentatives d’intrusion dans leur réseau interne ;
- 57 % admettent que les données confidentielles ou les informations personnelles identifiables (IIP) de leurs clients sont potentiellement menacées parce que leurs données ne sont pas protégées au-delà du minimum légal ;
- 53 % indiquent que les identifiants administrateurs sont enregistrés dans des documents Word ou Excel sur les ordinateurs de l’entreprise.
Inertie et approche passive
Si elles sont de plus en plus conscientes des risques de sécurité, les entreprises françaises continuent pourtant d’adopter une approche laxiste en matière de sécurité sur le cloud. L’inertie dont elles font preuve, à laquelle s’ajoute une approche passive de la sécurité des identifiants et des données sur le cloud, créent un cyber-risque.
En raison de l’automatisation des processus induite par les technologies cloud et DevOps, des comptes à privilèges, des identifiants et des secrets voient le jour à un rythme effréné. Et lorsqu’elles sont compromises, ces informations constituent pour les cybercriminels un tremplin idéal pour accéder latéralement à des données sensibles par l’intermédiaire des réseaux, des données et des applications, ou pour utiliser l’infrastructure cloud en vue de procéder à des activités illicites de minage de cryptomonnaies.
- 81 % des entreprises françaises confient la sécurité à leur prestataire de services cloud et s’appuient sur des capacités de sécurité intégrées ;
- 56 % n’ont pas défini de stratégie de sécurité sur le cloud pour les comptes à privilèges ;
- 53 % estiment que leur prestataire de services cloud ne leur assure pas une protection appropriée.
Transformer la culture de la sécurité
L’inertie en matière de cybersécurité doit devenir un élément central de la stratégie et du comportement des entreprises, et non plus être dictée par des besoins commerciaux contradictoires.
- 77 % des entreprises françaises estiment que la sécurité devrait faire l’objet de discussions régulières au niveau des membres de direction ;
- 36 % seulement d’entre elles déclarent féliciter ou récompenser les employés qui contribuent à empêcher les failles de sécurité IT, contre 74 % aux États-Unis ;
- 10 % à peine effectuent continuellement des exercices de simulation d’attaques afin d’identifier les vulnérabilités critiques et de définir des réponses efficaces.
Les entreprises doivent faire preuve d’un solide leadership, assumer certaines responsabilités, déployer des stratégies de sécurité clairement définies et communiquées correctement, tout en essayant de se mettre à la place des hackers...
Les chiffres mondiaux
Source : 11e édition du rapport « CyberArk Advanced Threat Landscape » réalisé par Vanson Bourne auprès de 1.300 décideurs en sécurité informatique, professionnels du DevOps, développeurs d’applications et chefs d’entreprise dans 7 pays à travers le monde
Image d’entête 873837640 @ iStock julos