Après avoir passé 2020 à prendre des mesures d’urgence et 2021 à consolider leurs défenses, les RSSI restent inquiets. L’adaptation aux nouveaux modes de travail, la dépendance croissante du cloud et l’évolution des comportements compliquent considérablement la hiérarchisation des menaces et la mise en place de contre-mesures adéquates.
Les années qui viennent de s’écouler ont marqué une nette professionnalisation des groupes cybercriminels, avec une sophistication accrue et des méthodes d’ingénierie sociale digne des meilleures officines de renseignement. L’attaque du gang de rançongiciels DarkSide sur Colonial Pipeline a interrompu l’alimentation en carburant d’une grande partie de la côte est des États-Unis. Le groupe Conti a paralysé le système de santé irlandais et mis à l’arrêt dans plusieurs hôpitaux. Le ransomware REvil a interrompu la production de JBS, la plus grande entreprise de transformation de viande du monde.
Le groupe REvil a également pris pour cible la plateforme Kaseya, qui propose des services cloud gérés. Par effet domino, cette attaque a entraîné la compromission d’autres fournisseurs de services gérés qui utilisaient les logiciels de gestion à distance de l’entreprise. Enfin, apothéose de fin d’année, la faille Log4j3 a permis à des cybercriminels d’exécuter du code et de prendre le contrôle de terminaux vulnérables, ce qui a entraîné des perturbations pour Amazon Web Services (AWS), Cisco, IBM et VMware, entre autres.
Un environnement d’insécurité chronique
Cet échantillon d’attaques réussies est représentatif de l’environnement d’insécurité chronique qui règne dans les entreprises. D’après la dernière étude de ProofPoint, Voice of the CISO 2022, 48 % des RSSI interrogés (80 % en France) estiment que leur entreprise risque d’être la cible d’une cyberattaque d’envergure au cours des 12 prochains mois. Un chiffre largement en deçà de celui de l’année dernière, où 64 % (68 % en France) des répondants craignaient une attaque. Selon le rapport, ce ne sont pas les circonstances qui ont évolué, c’est plutôt la confiance qui s’est renforcée. Une tendance qui n’est pas observée dans certains pays, dont la France, où l’inquiétude semble prendre de l’ampleur, passant de 68 % en 2021 à 80 % en 2022.
Forts d’une meilleure connaissance de l’environnement de travail de l’après-pandémie, les RSSI se sentent globalement mieux équipés pour contrer les cybermenaces. Si 66 % d’entre eux estimaient qu’ils n’étaient pas armés pour faire face à une attaque ciblée en 2021, ce chiffre est tombé à 50 % cette année. En effet, après avoir passé 2020 à prendre des mesures d’urgence, et 2021 à déployer et consolider de nouveaux modèles et des stratégies plus cohérentes, les RSSI ont « le sentiment de disposer d’un contrôle accru sur leurs environnements ». Dans la plupart des cas, cette confiance croissante s’explique par le fait qu’ils ont surmonté un incident majeur, et non par un changement tangible des niveaux de risque ou de préparation.
Pour être RSSI, il faut être endurant
Mais ce n’est pas parce qu’ils se sentent prêts à faire face à une cyberattaque qu’ils y sont réellement préparés. La moitié des RSSI à travers le monde estime que leur entreprise n’est pas prête à détecter une cyberattaque, à la neutraliser et à s’en remettre. Au Royaume-Uni et en Allemagne, ce chiffre grimpe à environ deux tiers, 65 % et 64 % respectivement. Pour les RSSI français, le paysage des cybermenaces reste inquiétant, mais leur posture de sécurité s’est renforcée. Alors que 78 % d’entre eux estimaient ne pas être préparés à faire face à une attaque ciblée en 2021, ils ne sont plus que 37 % cette année.
Face à l’évolution constante du paysage des menaces, les RSSI se méfient d’un éventail de plus en plus large de types de menaces. Les menaces internes, utilisateurs négligents ou malintentionnés (31 %), le piratage de la messagerie d’entreprise (30 %), la compromission de comptes cloud (30 %) et les attaques par déni de service distribué (DDoS) (30 %) arrivent en tête. Par ailleurs, les préoccupations liées aux rançongiciels n’ont augmenté que d’un point de pourcentage depuis l’année dernière, malgré plusieurs attaques très médiatisées au cours des 12 derniers mois.
Bien qu’ils soient de plus en plus nombreux à avoir le sentiment de disposer d’un contrôle accru sur leur environnement, l’adaptation rapide aux nouveaux modes de travail, la dépendance croissante du cloud et l’évolution des comportements compliquent considérablement la hiérarchisation des menaces et la mise en place de défenses adéquates. Comme l’exprime un RSSI : « Occuper un poste de cybersécurité revient à gravir un escalier mécanique qui descend. Si vous restez immobile, vous finirez en bas avec fracas. Même si vous montez une marche à la fois, vous n’avancerez pas. Pour progresser, vous devez courir sans jamais vous arrêter. Pour être RSSI, il faut être endurant ».