Un nouveau rapport montre qu'en moyenne, les contrôles de sécurité des organisations (tels que les pare-feu de nouvelle génération et les solutions de prévention des intrusions) n'empêchent que six attaques sur dix. L'étude Blue Report 2023 de Picus Security est basée sur l'analyse de plus de 14 millions de simulations de cyberattaques.Toutefois, certains types d'attaques sont évités beaucoup plus efficacement que d'autres. Par exemple, les organisations peuvent empêcher 73 % des téléchargements de logiciels malveillants, mais seulement 18 % des attaques par exfiltration de données. Elles ne parviennent également à prévenir les attaques complexes en plusieurs étapes que dans la moitié des cas.
"Comme une couverture courte qui couvre la tête ou les pieds d'une personne, mais pas les deux, les équipes de sécurité ne peuvent consacrer leur temps, leur argent et leurs ressources qu'à un nombre limité de problèmes à la fois", explique le Suleyman Ozarslan, cofondateur de Picus et vice-président de Picus Labs. "Ils déploient leurs budgets et leurs ressources pour couvrir un point exposé, mais cela laisse d'autres domaines dans le froid. Le rapport Blue met en lumière ces compromis impossibles et la manière dont ils empêchent les organisations de se défendre contre les menaces les plus récentes".
Le rapport révèle également les limites de l'approche des équipes de sécurité en matière de gestion des vulnérabilités et expositions communes (CVE). L'analyse des attaques simulées montre que la liste des 10 CVE auxquels elles restent le plus exposées comprend principalement des vulnérabilités critiques et à haut risque, ainsi que des CVE connus depuis des années. Certaines CVE découvertes en 2019 restent une menace pour plus de 80 % des organisations.
Les utilisateurs de solutions de gestion des événements et incidents de sécurité (SIEM) sont également confrontés à des décisions concernant le montant à investir dans la détection des attaques. Dans la plupart des cas, les organisations donnent systématiquement la priorité à la journalisation plutôt qu'à l'alerte, mais ne font ni l'une ni l'autre très bien. Les données de simulation montrent qu'en moyenne, les entreprises enregistrent quatre attaques sur dix, mais ne génèrent des alertes que pour deux attaques sur dix.
"Comme il est pratiquement impossible de prévenir et de détecter toutes les menaces, les équipes de sécurité devront toujours donner la priorité à certains aspects de la sécurité plutôt qu'à d'autres", ajoute Ozarslan. "Heureusement, il existe une approche qui peut les aider à améliorer leurs performances. En adoptant une approche plus unifiée qui intègre des informations provenant de simulations d'attaques combinées à des données sur la surface d'attaque et les vulnérabilités, les équipes de sécurité peuvent allouer des ressources de manière efficace et efficiente pour s'attaquer aux risques les plus critiques. En conséquence, elles peuvent simultanément améliorer leur capacité à prévenir et à détecter les attaques, plutôt que de faire des compromis entre les deux, et mieux dormir la nuit."
Source : Picus Security
Et vous ?
Pensez-vous que cette étude est crédible ou pertinente ?Voir aussi :
Trois conseils pour optimiser la formation sur la cybersécurité dispensée par votre entreprise par Chrystal Taylor, Head Geek, SolarWinds 95 % des entreprises prévoient d'augmenter leurs budgets de cybersécurité au cours des deux prochaines années pour répondre aux menaces toujours croissantes, selon une enquête menée par Splunk Le secteur de la cybersécurité doit recruter 3,4 millions de professionnels supplémentaires pour neutraliser la menace cybercriminelle dans le monde selon DXC Technology