Quel est le niveau de maturité de vos stratégies de cyber-défenseur ?

Notre nouvelle étude explore les pratiques d'évaluation des vulnérabilités de 2 100 entreprises afin de comprendre comment les défenseurs abordent cette étape cruciale pour leur cyber-hygiène.

Dans le cadre de notre nouvelle étude, « Stratégies des Cyber-Défenseurs : ce que révèlent vos pratiques d'évaluation des vulnérabilités », nous nous penchons sur les pratiques des entreprises en matière d'évaluation des vulnérabilités (VA) et les enseignements à en tirer en termes de cybermaturité.

Les résultats de notre étude précédente « La longueur d'avance de l'attaquant : un avantage quantifié », avaient piqué notre curiosité. Ils révélaient que les attaquants ont besoin de cinq jours en moyenne pour avoir accès à un exploit opérationnel. En revanche, les défenseurs nécessitent en moyenne 12 jours pour évaluer une vulnérabilité. En résulte une fenêtre moyenne de sept jours durant laquelle un attaquant a la possibilité de frapper sans que le défenseur ne connaisse même l'existence de la vulnérabilité. Ce constat nous a poussé à étudier les pratiques des défenseurs durant les phases cruciales Découverte et Évaluation du cycle de vie de la Cyber Exposure.

Notre rapport Stratégies des Cyber-Défenseurs met surtout l'accent sur les indicateurs de performance clés (KPI) associés aux étapes Découverte et Évaluation du cycle de vie à cinq phases de la cyber-exposition. Au cours de la première phase (Découverte), les assets sont identifiés et mappés afin d'être visibles dans tous les environnements informatiques. La deuxième phase (Évaluation) consiste à identifier l'état de tous les actifs, y compris les vulnérabilités, les mauvaises configurations et d'autres indicateurs de santé. Même si le processus ne s'arrête pas à ces deux phases, celles-ci déterminent résolument la portée et la cadence des phases ultérieures, notamment la priorisation et la remédiation.

Nous souhaitions en savoir plus sur la façon dont les utilisateurs finaux pratiquent l'évaluation des vulnérabilités dans des conditions réelles, en tirer des enseignements sur leur niveau de maturité global et comprendre les différences selon les types d'entreprises.

Stratégies des Cyber-Défenseurs : comprendre les KPI de l'évaluation des vulnérabilités

Dans le cadre de notre rapport Stratégies des Cyber-Défenseurs, nous avons analysé cinq indicateurs de performance clés (KPI) en nous basant sur les comportements réels des utilisateurs finaux en matière d'évaluation des vulnérabilités. Ces KPI permettent de dégager quatre styles de maturité VA : Rigoureux, Vigilant, Observateur et Minimaliste.

Nous avons découvert qu'environ la moitié (48 %) des entreprises représentées dans l'ensemble de données mettent en pratique des stratégies d'évaluation des vulnérabilités de maturité élevée (style Rigoureux ou Vigilant). Cependant, un peu plus de la moitié (52 %) utilise des stratégies VA de niveau de maturité modéré à faible (style Observateur ou Minimaliste). Nous décrirons ces styles en détail plus bas, mais arrêtons-nous d'abord sur la méthodologie utilisée pour obtenir ces résultats.

Afin d'identifier nos quatre styles VA, nous avons conçu un algorithme d'apprentissage automatique, nommé analyse archétypale, sur la base de données anonymes de télémesure de scans collectées auprès de plus de 2 100 entreprises réparties dans 66 pays. Nous avons analysé un peu plus de 300 000 scans au cours d'une période de trois mois de mars à mai 2018. Nous avons identifié plusieurs comportements VA idéalisés dans cet ensemble de données et avons assigné les entreprises à des groupes définis selon l'archétype qui leur est le plus proche. Le tableau ci-dessous décrit les caractéristiques d'évaluation des vulnérabilités pour chaque style de défenseur.

Les quatre styles d'évaluation des vulnérabilités : ce qu'ils révèlent

Source : Rapport Stratégies des Cyber-Défenseurs de Tenable, août 2018.

Voici les caractéristiques que nous avons observées pour chaque style :

• Seules 5 % des entreprises appartiennent à la catégorie Rigoureux, affichant un niveau de maturité élevé pour la majorité des KPI. Les adeptes du style Rigoureux effectuent fréquemment des évaluations des vulnérabilités avec une couverture exhaustive des assets, y compris des évaluations personnalisées et ciblées pour différents groupes d'assets et différentes Business Units.
• Par ailleurs, 40 % adoptent le style Vigilant, indiquant un niveau de maturité moyen à élevé. Ces entreprises appliquent une cadence de scans soutenue, ont recours aux modèles de scans ciblés et authentifient la plupart de leur assets.
• 19 % des entreprises sont du type Observateur, ce qui les place à un niveau de maturité faible à moyen. Les Observateurs effectuent des évaluations à large spectre, mais avec peu d'authentification et peu de personnalisation des modèles de scans.
• Classées dans le style Minimaliste, 33 % des entreprises présentent un niveau de maturité faible et n'effectuent que des évaluations limitées à certains assets.

Rapport Stratégies des Cyber-Défenseurs de Tenable : chiffres clés

Source : Rapport Stratégies des Cyber-Défenseurs de Tenable, août 2018.

L'évaluation des vulnérabilités est essentielle à tous les niveaux de maturité

Vous commencez sans doute à pouvoir caractériser plus précisément vos stratégies d'évaluation des vulnérabilités. Si votre entreprise penche plutôt en faveur des styles Observateur ou Minimaliste à maturité plus faible, ne vous en inquiétez pas. Il n'y a rien de mal à avoir un niveau de maturité faible. En revanche, il est problématique de ne pas chercher à l'améliorer.

Si vous avez adopté la VA sur le tard, vous aurez plus d'efforts à déployer pour rattraper votre retard. Mais cela signifie également que vous pouvez apprendre des erreurs et des expériences des adeptes de la première heure. Au lieu de faire tester des solutions nouvelles, non testées et immatures à votre entreprise, vous aurez déjà des offres éprouvées à votre disposition. Vous pouvez également puiser dans l'expertise existante au lieu d'essayer de concevoir vos stratégies à l'aveugle. En éliminant toute étape d'expérimentation, vous serez à même d'optimiser et d'innover dans les plus brefs délais.

Malgré tout, même si vous appliquez les stratégies d'évaluation des vulnérabilités les plus matures décrites ici, vous ne pouvez pas pour autant vous reposer sur vos lauriers. Mêmes les défenseurs les plus aguerris savent que leur travail n'est jamais terminé.<?p>

L'objectif ultime, quel que soit le style dans lequel vous vous reconnaissez, est de tendre en permanence vers un niveau de maturité supérieur. Nous savons que ce n'est pas facile. Les professionnels de la cybersécurité traînent un lourd bagage historique. Vous gérez des technologies et des dépendances héritées, mais devez également faire face aux complexités liées à la gestion d'un portefeuille toujours plus large de technologies nouvelles et émergentes. Entre-temps, les menaces se sont nettement intensifiées au cours des dernières années et l'environnement concurrentiel fait peser une pression toujours plus forte sur les entreprises.

En matière de cybersécurité, nous avons atteint ce qu'on appelle la vitesse de libération et la plupart des entreprises en sont désormais conscientes.

Notre rapport Stratégies des Cyber-Défenseurs propose des recommandations pour chaque style VA afin de vous aider à accéder au niveau supérieur de maturité. Il explique également comment ces quatre styles VA sont représentés par marché vertical et taille d'entreprise, pour permettre une comparaison aux entreprises similaires à la vôtre. Cliquez ci-dessous pour télécharger le rapport complet.

Pour en savoir plus :

• Rapport Stratégies des Cyber-Défenseurs : ce que révèlent vos pratiques d'évaluation des vulnérabilités
• La longueur d'avance de l'attaquant : un avantage quantifié
• Cyber-exposition : la nouvelle métrique de risque stratégique pour votre entreprise
• La Cyber-exposition pour les Nuls