Les cyberattaques continuent de croître en quantité et en qualité, tandis que les systèmes des entreprises deviennent de plus en plus complexes. Les équipes de sécurité, comme toujours, ressentent le stress. Mais l'un des résultats surprenants de l’étude de Splunk en 2023 sur l'état de la sécurité est que le nombre de personnes interrogées qui déclarent ne pas pouvoir suivre le rythme a diminué.
Le rapport indique également que les cybercriminels passent inaperçus sur les réseaux d'entreprise pendant de longues périodes. En moyenne, les personnes interrogées indiquent qu'il s'écoule plus de deux mois entre le moment où un acteur malveillant accède à l'entreprise et le moment où les parties concernées en prennent connaissance.
Les équipes de sécurité dépensent de plus en plus d'argent : 95 % des personnes interrogées déclarent que leur budget de sécurité augmentera au cours des deux prochaines années. En outre, 81 % des organisations affirment qu'elles font converger certains aspects de leurs opérations de sécurité et d'informatique. Les personnes interrogées estiment que cette convergence contribuera à la visibilité globale des risques dans leur environnement (58 %) et qu'elles constateront une meilleure coopération dans les processus d'identification des menaces et de réponse (55 %).
La protection de la chaîne d'approvisionnement fait également l'objet d'une attention accrue, puisque 95 % des personnes interrogées déclarent s'intéresser davantage à l'évaluation des risques par des tiers. Par ailleurs, 91 % des personnes interrogées reconnaissent qu'une meilleure saisie et analyse des données de détection est l'un des outils les plus efficaces pour prévenir les attaques réussies de rançongiciel.
« Dans les organisations avec lesquelles nous avons travaillé, la résilience a été la plus forte grâce à une approche collaborative dans tous les domaines, du développement de logiciels et de la surveillance de l'infrastructure à la planification de la continuité des activités », déclare Ryan Kovar, stratège distingué en matière de sécurité chez Splunk. « Cette approche met tout le monde autour de la table, y compris les responsables de la sécurité, les responsables informatiques et les dirigeants d'entreprise, afin qu'ils puissent tous se concentrer sur la protection de l'organisation. »
53 % des personnes interrogées dans le monde disent qu'il est plus difficile de se conformer aux exigences de sécurité qu'il y a deux ans, et c'est encore beaucoup. Mais en 2022, ce chiffre était de 66 %. Des experts en sécurité notent que 2022 n'a pas connu autant de nouveautés susceptibles de déstabiliser les équipes de sécurité.
Que ces données représentent une amélioration progressive ou une aubaine ponctuelle, les organisations doivent s'efforcer de tirer parti de tout avantage. Ce qui ne sera pas facile : la plupart des équipes de sécurité disent qu'elles sont trop bloquées en mode réactif pour être réellement proactives.
Il a été demandé à la petite majorité de ceux qui affirment que leur travail est devenu plus difficile de dire ce qui le rend plus difficile. Les principaux défis de ce sous-ensemble :
- la sophistication croissante des menaces (selon 38 % des répondants, qui la classent au premier rang pour la troisième année consécutive) ;
- la complexité de la pile de sécurité (selon 30 %) ;
- l'IaaS et le SaaS posent des défis en matière de surveillance et de gestion des risques (29 % et 28 %, respectivement) ;
- les exigences de la charge de travail qui piègent les équipes en « mode réaction » (28 %).
Ce dernier point se reflète également dans plusieurs réponses. Les répondants disent qu'ils sont submergés par le nombre d'attaques (24 %) et de faux positifs (25 %). 25 % d'entre eux affirment qu'ils ont du mal à embaucher ou à conserver suffisamment de personnel qualifié. Il existe des variations globales en termes de lutte.
Les organisations de la région Asie-Pacifique sont cinq à sept points de pourcentage plus susceptibles que la moyenne mondiale de dire qu'il est difficile de surveiller les applications SaaS et d'analyser efficacement toutes les données de sécurité. Les répondants européens sont moins susceptibles d'exprimer cette plainte, tandis que les organisations nord-américaines se rapprochent de la moyenne mondiale. Lorsqu'on leur a demandé de citer leurs trois principales priorités, les personnes interrogées ont le plus souvent cité les suivantes.
Principales initiatives en matière de sécurité
Il a été constaté que dans tous les secteurs d'activité et dans toutes les régions, les responsables de la sécurité et leurs collègues collaborent de plus en plus pour améliorer la résilience. La cybersécurité classique se préoccupe de la prévention proactive des incidents, tandis que la résilience est réactive : il s'agit de ce que beaucoup font une fois qu'un incident s'est produit.
L'évaluation des risques, la planification de la réponse aux incidents et les investissements clés dans la technologie et la formation, entre autres, exigent une réflexion stratégique qui dépasse le cadre strict de la cybersécurité. 79 % des parties prenantes de la ligne de métier considèrent l'équipe de sécurité comme un partenaire précieux, récompensant ces équipes par un siège à la table de collaboration et un meilleur financement. Les chefs d'entreprise qui fixent le budget de la sécurité se penchent de plus en plus sur les paramètres qui mesurent la résilience, en commençant par le temps moyen de récupération.
Dans l'ensemble, qu'ils se disent débordés ou non, les répondants ont identifié une série diffuse de défis. Bien qu'aucun type de crise ne domine, le problème généralisé de passer trop de temps à faire face aux urgences s'est hissé à une confortable première place. Les causes de ce mode de réaction perpétuel sont nombreuses et, franchement, il n'y a pas beaucoup de solutions. Les organisations subissent des cyberattaques par milliers, de sorte qu'une position réactive est inévitable. Bien que les équipes de sécurité intelligentes fassent de leur mieux pour devancer les vecteurs d'attaque connus.
La sophistication croissante de la technologie, des modes d'utilisation des données et des méthodes d'attaque signifie que les normes réglementaires vont (éventuellement) augmenter elles aussi.
L'état du SOC
Comme l'indiquent les pages précédentes, les équipes de sécurité sont mises à rude épreuve. Le centre d'opérations de sécurité d'aujourd'hui a beaucoup de choses à couvrir, et pas assez de personnes pour le faire.
- 64 % des équipes SOC se plaignent de devoir pivoter entre trop d'outils de sécurité et de consoles de gestion disparates, avec peu (ou pas) d'intégration, ce qui empêche des investigations et des réponses complètes et rapides ;
- 49 % déclarent manquer de personnel pour enquêter et répondre à un volume croissant d'événements de sécurité.
Le résultat : un risque accru résultant de leur charge de travail. En moyenne, les personnes interrogées estiment que 41 % des alertes qu'il serait utile d'examiner sont ignorées en raison d'un manque de bande passante SOC disponible. Les alertes non examinées pourraient inclure un vrai positif, permettant à une attaque d'aboutir.
Cette situation compromet tout : le rendement réel de l’investissement dans les outils coûteux qui génèrent ces alertes, l'efficacité et le moral de l’équipe d'analystes, ainsi que la sécurité et la résilience réelles de votre organisation.
Points essentiels par pays Panorama de l'état de la sécurité dans le monde
En Australie et en Nouvelle-Zélande
Les rançongiciels ne sont pas vraiment au premier rang des préoccupations : seuls 19 % d'entre eux le considèrent comme une priorité pour l'année prochaine, contre 29 % des personnes interrogées dans le reste de la région Asie-Pacifique. Il est possible que cela soit lié au fait que les organisations d'Australie et de Nouvelle-Zélande semblent compter davantage sur la cyberassurance pour les rançongiciels que leurs homologues, de sorte que le verrouillage des systèmes est peut-être simplement un coût d'exploitation.
Parmi les organisations qui ont été victimes d'attaques réussies par rançongiciels, 38 % en Nouvelle-Zélande déclarent que leur compagnie d'assurance a le plus souvent payé (contre 21 % de leurs homologues dans le reste du monde). Certainement que les taux d'assurance sont meilleurs là-bas, puisque les rançons ont tendance à être moins élevées en Nouvelle-Zélande que dans le reste du monde.
Autres résultats notables :
- les ciSO ont tendance à se réunir moins souvent avec leurs homologues du LOB : seuls 14 % des répondants affirment que leur ciSO organise des réunions d'information hebdomadaires sur la posture de sécurité, soit moins de la moitié de la fréquence (30 %) rapportée par les répondants du reste du monde ;
- bien que les organisations de la Nouvelle-Zélande soient légèrement plus susceptibles d'appeler DevSecOps un domaine d'intérêt assez important, elles rapportent moins de succès dans ce domaine. Seulement 49 % déclarent que DevSecOps a permis de réduire les incidents (contre 60 % dans le reste du monde), et uniquement 48 % déclarent qu'il a aidé à la conformité (contre 63 %).
Canada
Les personnes interrogées au Canada sont généralement plus inquiètes de l'augmentation des menaces et des exigences en matière de sécurité ; 76 % d'entre elles déclarent qu'il est devenu plus difficile de se conformer aux exigences en matière de sécurité au cours des deux dernières années, contre 51 % dans le reste du monde. Ce pessimisme est peut-être justifié.
La confiance des Allemands s'explique peut-être par leurs progrès en matière de résilience : 27 % d'entre eux déclarent avoir adopté une approche formelle de la cyberrésilience à l'échelle de leur organisation, contre seulement 18 % des autres répondants de la région (ce qui place les Allemands dans la lignée des normes mondiales, et non en avance sur elles).
Il se peut également que les organisations allemandes aient connu moins d'incidents. Uniquement 40 % d'entre elles déclarent avoir été victimes d'une intrusion au cours des deux dernières années, contre 57 % sur les autres marchés européens étudiés et 53 % dans le reste du monde. Les répondants allemands citent aussi moins de violations de la conformité (25 % contre 52 % dans les autres pays européens interrogés), d'attaques internes (32 % contre 50 %) et de compromissions d'e-mails professionnels (36 % contre 63 %).
En revanche, la réponse allemande aux incidents qui se produisent est plus lente. Les analyses post-incident montrent qu'en Allemagne, les acteurs malveillants ont accès aux systèmes pendant près de trois mois avant que l'organisation ne s'en aperçoive, contre moins de deux mois pour les autres pays européens interrogés. Le MTTR est plus lent dans les mêmes proportions.
Autres différences
Les répondants allemands déclarent plus souvent qu'il leur est devenu plus difficile de trouver du personnel de sécurité qualifié (33 % contre 18 % dans les autres pays européens). Seuls 30 % d'entre eux affirment que l'intelligence artificielle est capable de surpasser les analystes en matière de détection des anomalies (contre 53 % des autres répondants dans le reste de la région).
Ils ont également fait moins de progrès en matière d'automatisation et d'orchestration des opérations de sécurité : seuls 29 % d'entre eux font état de progrès importants dans ce domaine, contre 40 % de leurs homologues dans la région. La pénurie de compétences, combinée à un investissement moindre dans l'IA et l'automatisation, pourrait mettre les organisations allemandes sur la voie où les équipes de sécurité finiront par avoir plus de mal à suivre.
L'Inde
Les données relatives à l'Inde présentent un tableau déconcertant. D'une part, les équipes indiennes sont très bien dotées en ressources : 66 % des personnes interrogées déclarent disposer de plus de 25 ETP dans leur SOc, contre 36 % en moyenne dans le reste du monde. D'autre part, elles se démènent pour rester dans la course :
- 42 % des organisations indiennes se disent dépassées par le nombre d'attaques (contre 23 % dans le reste du monde) ;
- 44 % déclarent être inondés de faux positifs (contre 24 %).
Une partie du problème semble résider dans la complexité de leurs écosystèmes d'outils : 48 % déclarent que leur système de sécurité est trop complexe, contre 28 % dans le reste du monde. Il en résulte, sans surprise, que les personnes interrogées en Inde déclarent plus souvent avoir été victimes d'une violation au cours des deux dernières années (59 % contre 45 % des personnes interrogées dans le reste de la région Asie-Pacifique) et que les incidents entraînent des conséquences négatives pour l'entreprise à un taux plus élevé, y compris une réduction de l'évaluation de l'entreprise (42 % contre 25 % dans le reste de la région).
La bonne nouvelle, c'est que les ciSOs relèvent le défi : 33 % déclarent informer chaque semaine les responsables opérationnels de la situation de l'entreprise en matière de sécurité (contre 16% dans le reste de la région asie-Pacifique). Ces efforts portent leurs fruits, puisque 57 % des personnes interrogées déclarent que cela a directement conduit à une plus grande priorisation des investissements en matière de sécurité (contre 42 % dans le reste de la région).
Un autre point positif est que les organisations en inde semblent faire converger les aspects de leurs opérations de sécurité avec des fonctions complémentaires plus souvent que leurs homologues : 42 % déclarent faire converger les opérations de sécurité avec tous les domaines couverts par l'enquête (observabilité, expérience numérique, itOps et développement d'applications), contre 25 % dans le reste de la région : 74% visent à améliorer la visibilité des risques (contre 53% dans le reste de la région) ; 64% visent à identifier les problèmes plus rapidement (contre 51%), et 70% font converger des aspects de la sécurité et d'autres fonctions pour améliorer la collaboration interfonctionnelle (contre 53%).
Le nombre moyen de pannes auxquelles une organisation est confrontée est de 22 par an et le coût de ce temps d'arrêt représente environ 2,7 % du chiffre d'affaires annuel. 39 % des personnes interrogées déclarent que les incidents de cybersécurité ont directement nui à leur position concurrentielle, et 31 % déclarent que les incidents de cybersécurité ont réduit la valeur actionnariale.
Source : Splunk
Les résultats de cette enquête son-elles pertinentes ?
Au sujet de l'état de la sécurité en France, les personnes interrogées ont l'impression d'avoir le vent en poupe ; à tort ou à raison ?
Voir aussi :
Les entreprises de taille moyenne manquent d'expertise en matière de cybersécurité, 61 % de ces entreprises ne disposent pas d'experts en cybersécurité au sein de leur organisation
71 % des employés ont des données professionnelles sensibles sur des appareils personnels, d'après un nouveau rapport de SlashNext
60 % des organisations ont subi des failles d'authentification au cours de l'année écoulée, d'après HYPR, une plateforme d'authentification multi-facteurs sans mot de passe