« Les vieilles habitudes ont la vie dure : comment les défis liés aux personnes, aux processus et à la technologie nuisent aux équipes de cybersécurité ». L'intitulé du dernier rapport de Tenable reflète parfaitement le paradoxe présent chez de nombreuses organisations.
D’un côté, une forte majorité (75 %) des 825 leaders mondiaux de la cybersécurité et de l'informatique interrogés considère l'infrastructure cloud comme la plus grande source de risque d'exposition dans leur organisation.
Dans l'ordre, les risques perçus les plus élevés proviennent de l'utilisation :
- du cloud public (30 %)
- du multicloud et/ou du cloud hybride (23 %)
- de l'infrastructure du cloud privé (12 %)
- des outils de gestion des conteneurs cloud (9 %).
Une exigence opérationnelle
Cependant, la moitié révèle que leur organisation ne dispose pas d'un moyen efficace d'intégrer ces données à ses pratiques de cybersécurité. Cette tendance est renforcée par le manque d'hygiène des données que plus de la moitié (57 %) rencontre sur ces systèmes, ce qui les empêche d'en tirer des données de qualité.Ces résultats arrivent à un moment critique pour les entreprises cotées en bourse, suite à l'introduction récente des règles de la Securities and Exchange Commission (SEC) en matière de cybersécurité, qui prendront effet le mois prochain.
Celles-ci leur imposent de divulguer les incidents importants liés à la cybersécurité et stipulent qu'elles doivent décrire leurs processus d'évaluation, d'identification et de gestion des risques.
Elles doivent également indiquer les processus de surveillance du conseil d'administration et de la direction générale en la matière. Pour les organisations qui n'ont pas mis en place ces meilleures pratiques et processus, les mesures de sécurité préventive deviendront une exigence opérationnelle.
Une image floue de la surface d'attaque
Or, selon ce rapport, une organisation moyenne n'est prête à bloquer de manière préventive que 57 % des cyberattaques auxquelles elle a été confrontée. Cela signifie que 43 % des attaques lancées contre elles ont réussi et qu'il faut y remédier après coup.Près de six personnes sur dix interrogées (58 %) déclarent se concentrer presque entièrement sur la lutte contre les attaques réussies plutôt que sur leur prévention. L'étude révèle que cette situation est largement due à l'incapacité de réduire les risques avant que les attaques ne se produisent.
Ces professionnels expliquent que cette attitude réactive résulte essentiellement de la difficulté qu'ont leurs organisations à obtenir une image précise de leur surface d'attaque, y compris une visibilité sur les actifs inconnus, les ressources cloud, les faiblesses de code et les systèmes d'habilitation de l'utilisateur.
La complexité de l'infrastructure - qui repose sur de multiples systèmes cloud, de nombreux outils de gestion des identités et des privilèges et divers actifs web - offre de nombreuses possibilités de configurations erronées et d'actifs négligés. Résultat, il leur faut 15 heures en moyenne par mois pour créer des rapports sur l'état de l'infrastructure de sécurité de l'entreprise à l'intention des dirigeants.