Un nouveau rapport de la société de visibilité et de gestion des actifs cybernétiques JupiterOne montre que le nombre d'actifs cybernétiques d'entreprise a augmenté de 133 % par rapport à l'année précédente, passant d'une moyenne de 165 000 en 2022 à 393 419 en 2023. Les organisations ont également vu le nombre de vulnérabilités de sécurité, ou de résultats non résolus, augmenter de 589 %, selon le rapport qui a analysé plus de 291 millions d'actifs, de résultats et de politiques pour établir l'état actuel des actifs cloud des entreprises, y compris les environnements cloud et physiques d'appareils, de réseaux, d'applications, de données et d'utilisateurs.Jasmine Henry, directrice principale de la sécurité des données et de la confidentialité chez JupiterOne et chercheuse principale du rapport 2023 The State of Cyber Assets, déclare : « Si l'année écoulée nous a appris quelque chose, c'est l'importance critique de la sécurité pour la santé globale d'une organisation et la sécurité publique. La cybersécurité n'est plus seulement l'affaire du RSSI ; le PDG, le conseil d'administration et les investisseurs sont tous très attentifs. Les historiens peuvent écrire que l'attaque du ransomware WannaCry en 2017 a été le moment où les PDG ont pris conscience de l'importance de la sécurité et que l'événement du Colonial Pipeline en 2021 a été le moment où le citoyen moyen a compris que la sécurité était importante ; mais même si tout le monde est conscient de l'importance de la sécurité, ce rapport nous montre à quel point la montagne qu'il nous reste à gravir est grande ».
En moyenne, les grandes organisations disposent de 2 011 cyber-actifs par employé, les petites organisations de 681 et les organisations de taille moyenne de 489. Les praticiens de la sécurité sont responsables d'une moyenne de 334 comptes uniques de fournisseurs de services cloud (Cloud Service Provide : CSP) en 2023, toutes tailles d'organisation confondues, ou d'une moyenne de 225 et 559 comptes uniques dans les grandes et moyennes organisations, respectivement.
« Les équipes de sécurité n'ont pas besoin de plus de visibilité. Elles ont juste besoin d'accéder à la visibilité qui existe déjà au sein d'une organisation. L'un des principaux enseignements pour les organisations devrait être l'importance d'éliminer les barrières artificielles qui empêchent les équipes de sécurité d'obtenir cette visibilité. Les PDG et autres cadres devraient demander à leurs équipes de sécurité quelles sont les politiques ou les dynamiques inter-équipes qui les empêchent d'accéder à la visibilité dont elles ont besoin. Les équipes de sécurité mènent déjà un combat difficile. À l'ère des surfaces d'attaque distribuées et en croissance rapide, les organisations devraient se concentrer sur l'amélioration des processus et des outils qui unifient nos données disponibles afin d'obtenir de meilleures informations cybernétiques à partir de la visibilité dont nous disposons déjà », déclare Sounil Yu, RSSI et responsable de la recherche chez JupiterOne.
Source : JupiterOne
Et vous ?
Que pensez-vous des résultats de cette recherche ? Les trouvez-vous pertinents ?Voir aussi :
73% des organisations ont considérablement augmenté leurs efforts en matière de sécurité de la chaîne logistique logicielle, suite aux évènements Log4Shell, SolarWinds et Kaseya, selon Synopsys Google fait état d'une baisse des vulnérabilités liées à la sécurité de la mémoire sur Android à mesure que l'utilisation de Rust augmente, elles seraient passées de 223 en 2019 à 85 en 2022 Les lacunes en matière de sécurité du cloud exposent les actifs critiques de l'entreprise en seulement trois étapes, selon un rapport d'Orca Security La sécurité dans le Cloud reste challengée par la complexité et le Shadow IT d'après IBM, principales menaces : Vol de données, cryptomining et ranswomware