CyberArk présente un modèle élaboré à partir des informations de pairs pour évaluer et perfectionner les stratégies de sécurité des identités en vue d’atteindre un haut niveau de maturité. CyberArk spécialste mondial de la sécurité des identités, dévoile les résultats d’une étude internationale consacrée aux tendances liées à l’adoption de la sécurité des identités, ainsi qu’à la maturité relative des entreprises qui ont mis en œuvre une stratégie de ce type. Selon les résultats, seulement 9 ;% des organisations adoptent une approche agile, holistique et mature pour sécuriser les identités dans leurs environnements hybrides et multicloud. Ce rapport propose un modèle de maturité élaboré pour aider les responsables de la cybersécurité à évaluer leur stratégie de sécurité des identités, à découvrir les risques associés et à prendre les mesures nécessaires pour renforcer leur cyberrésilience.
Pour les experts, la sécurité des identités est un élément clé de la cyberrésilience
Publiée sous le titre The Holistic Identity Security Maturity Model: Raising the Bar for Cyber Resilience[1], cette étude a été menée par CyberArk et le cabinet Enterprise Strategy Group (ESG) auprès de 1 ;500 professionnels de la cybersécurité. À partir des réponses obtenues, le modèle basé sur des données a identifié 9 ;% des entreprises comme ayant déployé les stratégies de sécurité des identités les plus matures et les plus holistiques. Ces entreprises innovantes se concentrent pleinement sur la mise en œuvre d’outils de sécurité des identités, font preuve d’une agilité intrinsèque et se caractérisent par une approche fondée sur la capacité à se relever rapidement de leurs échecs, même après avoir été victimes d’une cyberattaque.
Toutefois, 42 ;% des programmes de sécurité des identités mis en place par les entreprises interrogées sont loin d’être matures, et ne disposent pas des outils et des intégrations indispensables pour neutraliser rapidement les risques qui pèsent sur les identités. L’élargissement de la surface d’attaque, la complexité croissante des environnements informatiques et la multiplication des obstacles organisationnels contribuent à cette généralisation des lacunes affichées par les entreprises en matière de sécurité des identités.
Les principaux enseignements de cette étude sont les suivants ;:
- Écart entre la stratégie déployée et les résultats obtenus ;: 69 ;% des hauts dirigeants (CEO, CFO, CTO, etc.) estiment prendre les bonnes décisions en matière de sécurité des identités, contre 52 ;% de l’ensemble des effectifs (décideurs techniques et praticiens). Cet écart souligne la perception selon laquelle la sécurité dans son ensemble peut être atteinte en effectuant les bons investissements technologiques. Ce n’est toutefois qu’une partie de l’équation. En effet, il est tout aussi important de maximiser ces investissements sur un plan stratégique en incluant l’implémentation et l’intégration aux environnements existants, ainsi que de supprimer les silos et d’améliorer la formation.
- Écart entre la stratégie déployée et les résultats obtenus ;: 69 ;% des hauts dirigeants (CEO, CFO, CTO, etc.) estiment prendre les bonnes décisions en matière de sécurité des identités, contre 52 ;% de l’ensemble des effectifs (décideurs techniques et praticiens). Cet écart souligne la perception selon laquelle la sécurité dans son ensemble peut être atteinte en effectuant les bons investissements technologiques. Ce n’est toutefois qu’une partie de l’équation. En effet, il est tout aussi important de maximiser ces investissements sur un plan stratégique en incluant l’implémentation et l’intégration aux environnements existants, ainsi que de supprimer les silos et d’améliorer la formation.
- Des efforts fragmentés ;: 58 ;% des entreprises interrogées disposent de deux équipes en charge de la sécurité des identités — sur site et dans le cloud ;— et utilisent plusieurs solutions indépendantes, ce qui complique la compréhension de leur posture de sécurité en temps réel.
« ;Cette étude met en lumière la relation entre une solide stratégie de sécurité des identités et l’amélioration des résultats métier, explique Jack Poller, senior analyst chez Enterprise Strategy Group (ESG). Des évaluations de maturité menées à intervalles plus fréquents et plus réguliers permettent aux bonnes personnes d’accéder aux bonnes données, et aider les entreprises à agir avec une vélocité suffisante pour éviter que des menaces n’interrompent leurs activités. ;»
Un cadre basé sur l’expérience des pairs pour soutenir une stratégie holistique de sécurité des identités
Conçu sur la base des informations fournies par les 1 ;500 professionnels interrogés, le modèle Holistic Identity Security Maturity permet aux entreprises d’évaluer leur niveau de maturité dans les quatre piliers de la sécurité des identités ;:
- L’achat d’outils couvrant la gestion, le contrôle des privilèges, la gouvernance, l’authentification et l’autorisation pour l’ensemble des identités et les différents types d’identité ;;
- Les intégrations à d’autres solutions informatiques et de sécurité au sein de la pile technologique de l’entreprise en vue de sécuriser l’accès à tous ses actifs et environnements ;;
- L’automatisation pour assurer une conformité ininterrompue aux règles, règlementations et standards industriels, ainsi que pour réagir rapidement face aux évènements ordinaires et anormaux de grande ampleur ;;
- Des moyens de détection et de réponse aux menaces en continu basés sur une solide maîtrise du comportement des identités et des règles organisationnelles.
« ;Si 63 ;% des entreprises reconnaissent avoir été victimes d’une attaque ciblant les identités, il est probable que ce pourcentage soit nettement plus élevé. En effet, les cybercriminels continuent de viser et d’infecter les identités avec succès sur une grande échelle, ajoute Amita Potnis, Director, Thought Leadership Marketing chez CyberArk. Les entreprises qui souhaitent adopter une stratégie de sécurité des identités holistique doivent se concentrer sur la sécurité de l’accès à l’ensemble des identités — humaines et machines ;— en éliminant les cloisons et en adoptant une approche automatique et consolidée de la sécurité des identités. Comme l’indique notre étude, de nombreuses entreprises ont d’ores et déjà commencé à investir en ce sens, 24 ;% d’entre elles s’étant engagées à consacrer cette année plus de 10 ;% de leur budget cybersécurité à un programme de sécurité des identités. ;»
Les entreprises « ;transformatives ;», qui représentent 9 ;% de l’ensemble des personnes interrogées, ont atteint le niveau de maturité maximum en adoptant une approche unifiée de la sécurité des identités. La plateforme de sécurité des identités de CyberArk incarne cette approche en appliquant des contrôles intelligents des privilèges à toutes les identités — humaines et machines — grâce à des capacités continues de détection et de prévention des menaces, d’un bout à l’autre du cycle de vie des identités. Avec CyberArk, les entreprises peuvent mettre en œuvre une approche Zero ;Trust basée sur le principe du moindre privilège en bénéficiant d’une visibilité complète pour faire en sorte que chaque identité puisse accéder en toute sécurité à n’importe quelle ressource, indépendamment de sa localisation, à tout moment et en tous lieux.
Méthodologie de l’enquête
L’Enterprise Strategy Group (ESG) a interrogé 1 ;500 décideurs IT et Sécurité au cours du troisième trimestre 2022. Toutes les personnes contactées travaillent dans un environnement multi-cloud, et connaissent les stratégies et les moyens de gestion des accès et des identités dont dispose leur entreprise. Elles sont basées en Amérique du Nord (États-Unis et Canada), en Amérique latine (Mexique et Brésil), dans la région EMEA (Israël, Allemagne, Royaume-Uni, Espagne, Italie, Pays-Bas) ainsi qu’en Asie-Pacifique (Australie, Hong Kong, Inde, Japon, Singapour et Taïwan).
À propos de CyberArk
CyberArk ;un spécialiste mondial de la sécurité des identités. Consacré à la gestion des accès à privilèges, CyberArk propose une offre de sécurité complète pour toutes les identités ;– humaines ou machines ;– au sein des applications d’entreprise, des effectifs décentralisés, des workloads hybrides dans le cloud et tout au long du cycle de vie DevOps. Les plus grandes organisations mondiales font confiance à CyberArk pour les aider à sécuriser leurs actifs les plus critiques.
Source : Cyberark
Et vous ?
Trouvez-vous cette étude pertinente ? Qu'en est-il au sein de votre entreprise ?Voir aussi :
CyberArk intègre de nouvelles fonctionnalités à sa solution Workforce Password Management, conçues pour sécuriser l'accès aux applications métier à haut risque et à forte valeur ajoutée Des experts en sécurité sont parvenus à créer un logiciel malveillant polymorphe "hautement évasif" à l'aide de ChatGPT, le logiciel malveillant serait capable d'échapper aux produits de sécurité 95 % des atteintes à la cybersécurité sont dues à des erreurs humaines, les différentes technologies comme le métaverse et la blockchain créant encore plus de vulnérabilités;