Une étude de CyberArk, réalisée par Vanson Bourne, montre que les entreprises françaises méconnaissent les nouvelles vulnérabilités qui accompagnent fréquemment les initiatives digitales, notamment la présence d’accès à privilèges.
Une majorité d’entreprises mène actuellement des projets de transformation numérique autour de technologies comme l’Internet des objets (IoT), l’automatisation des processus (RPA) et bien entendu le Cloud. Elles sont également de plus en plus nombreuses à miser sur DevOps pour accélérer leur transformation et gagner en agilité. Si les bénéfices potentiels sont importants, les risques augmentent également : en effet, ces nouvelles approches ouvrent une quantité de possibilités pour les cyberattaquants. Les pirates peuvent aisément exploiter les accès à privilèges légitimes pour pénétrer dans un réseau et s’y déplacer latéralement, ce qui leur facilite grandement la tâche pour atteindre leurs cibles.
L’étude de CyberArk a évalué la maturité des entreprises face à ces nouveaux vecteurs d’attaque, en interrogeant plus de 1000 décideurs IT dans 7 pays, dont la France.
Beaucoup de décideurs ignorent que leurs projets digitaux s’appuient sur des accès à privilèges
Selon l’enquête de CyberArk, les entreprises françaises sont conscientes de la vulnérabilité accrue de leur réseau. 70 % des décideurs interrogés ont ainsi déclaré que leur infrastructure informatique et leurs données critiques ne sont pas entièrement protégées, sauf si les secrets, les comptes et les identifiants privilégiés sont sécurisés.
Pour 80 % des répondants, les pirates informatiques forment l’une des trois premières menaces pour leurs actifs critiques, devant les « hacktivistes » (63 %), les concurrents (45 %) et les acteurs internes sans accès à privilèges (38 %).
Par ailleurs, 65 % des responsables français placent les attaques par malwares et ransomwares parmi les risques de sécurité majeurs auxquels leur entreprise est actuellement confrontée, suivis par les attaques externes telles que le phishing (62 %), et la gestion du cloud (53 %).
Néanmoins, ces résultats témoignent d’une méconnaissance généralisée de l’existence d’identifiants privilégiés dans la plupart des initiatives numériques. Seuls 16 % des sondés savent que des comptes, des identifiants et des secrets à privilèges existent dans des conteneurs, 20 % qu’ils existent dans des référentiels de code source et 28 % qu’ils sont présents dans des applications et processus à privilèges tels que la RPA.
Protéger les infrastructures critiques et le Cloud
Les entreprises françaises restent également un peu à la traîne pour pallier ces nouvelles menaces. Seuls 44 % des responsables interrogés en France ont indiqué que leur entreprise a mis en place une stratégie de sécurité des accès à privilèges afin de protéger les applications critiques et l’infrastructure cloud. Cette proportion chute à 33 % pour le DevOps ou l’IoT.
Les résultats montrent tout de même que la maturité globale progresse : ainsi, 27 % des dépenses de sécurité prévues au cours des deux prochaines années seront consacrées à lutter contre ce type d’attaques.
Source : CyberArk
