Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

Quel est le niveau de maturité de vos stratégies de cyber-défenseur ?

Notre nouvelle étude explore les pratiques d'évaluation des vulnérabilités de 2 100 entreprises afin de comprendre comment les défenseurs abordent cette étape cruciale pour leur cyber-hygiène.

Dans le cadre de notre nouvelle étude, « Stratégies des Cyber-Défenseurs : ce que révèlent vos pratiques d'évaluation des vulnérabilités », nous nous penchons sur les pratiques des entreprises en matière d'évaluation des vulnérabilités (VA) et les enseignements à en tirer en termes de cybermaturité.

Les résultats de notre étude précédente « La longueur d'avance de l'attaquant : un avantage quantifié », avaient piqué notre curiosité. Ils révélaient que les attaquants ont besoin de cinq jours en moyenne pour avoir accès à un exploit opérationnel. En revanche, les défenseurs nécessitent en moyenne 12 jours pour évaluer une vulnérabilité. En résulte une fenêtre moyenne de sept jours durant laquelle un attaquant a la possibilité de frapper sans que le défenseur ne connaisse même l'existence de la vulnérabilité. Ce constat nous a poussé à étudier les pratiques des défenseurs durant les phases cruciales Découverte et Évaluation du cycle de vie de la Cyber Exposure.

Notre rapport Stratégies des Cyber-Défenseurs met surtout l'accent sur les indicateurs de performance clés (KPI) associés aux étapes Découverte et Évaluation du cycle de vie à cinq phases de la cyber-exposition. Au cours de la première phase (Découverte), les assets sont identifiés et mappés afin d'être visibles dans tous les environnements informatiques. La deuxième phase (Évaluation) consiste à identifier l'état de tous les actifs, y compris les vulnérabilités, les mauvaises configurations et d'autres indicateurs de santé. Même si le processus ne s'arrête pas à ces deux phases, celles-ci déterminent résolument la portée et la cadence des phases ultérieures, notamment la priorisation et la remédiation.

Nous souhaitions en savoir plus sur la façon dont les utilisateurs finaux pratiquent l'évaluation des vulnérabilités dans des conditions réelles, en tirer des enseignements sur leur niveau de maturité global et comprendre les différences selon les types d'entreprises.

Stratégies des Cyber-Défenseurs : comprendre les KPI de l'évaluation des vulnérabilités

Dans le cadre de notre rapport Stratégies des Cyber-Défenseurs, nous avons analysé cinq indicateurs de performance clés (KPI) en nous basant sur les comportements réels des utilisateurs finaux en matière d'évaluation des vulnérabilités. Ces KPI permettent de dégager quatre styles de maturité VA : Rigoureux, Vigilant, Observateur et Minimaliste.

Nous avons découvert qu'environ la moitié (48 %) des entreprises représentées dans l'ensemble de données mettent en pratique des stratégies d'évaluation des vulnérabilités de maturité élevée (style Rigoureux ou Vigilant). Cependant, un peu plus de la moitié (52 %) utilise des stratégies VA de niveau de maturité modéré à faible (style Observateur ou Minimaliste). Nous décrirons ces styles en détail plus bas, mais arrêtons-nous d'abord sur la méthodologie utilisée pour obtenir ces résultats.

Afin d'identifier nos quatre styles VA, nous avons conçu un algorithme d'apprentissage automatique, nommé analyse archétypale, sur la base de données anonymes de télémesure de scans collectées auprès de plus de 2 100 entreprises réparties dans 66 pays. Nous avons analysé un peu plus de 300 000 scans au cours d'une période de trois mois de mars à mai 2018. Nous avons identifié plusieurs comportements VA idéalisés dans cet ensemble de données et avons assigné les entreprises à des groupes définis selon l'archétype qui leur est le plus proche. Le tableau ci-dessous décrit les caractéristiques d'évaluation des vulnérabilités pour chaque style de défenseur.

Les quatre styles d'évaluation des vulnérabilités : ce qu'ils révèlent

Style VA

Niveau de maturité VA

Caractéristiques

Rigoureux

Élevé

L'utilisateur Rigoureux effectue une évaluation exhaustive des vulnérabilités en personnalisant ses scans en fonction du cas d'utilisation, mais a recours aux scans authentifiés de manière sélective.

Vigilant

Moyen à élevé

L'utilisateur Vigilant effectue des évaluations des vulnérabilités avec un niveau élevé de maturité, mais n'évalue que certains assets sélectionnés.

Observateur

Faible à moyen

L'Observateur effectue fréquemment des évaluations des vulnérabilités à large spectre, mais en se concentrant sur les vulnérabilités distantes et de réseau.

Minimaliste

Faible

Le Minimaliste effectue le strict minimum requis pour répondre aux prescriptions de conformité.

Source : Rapport Stratégies des Cyber-Défenseurs de Tenable, août 2018.

Voici les caractéristiques que nous avons observées pour chaque style :

  • Seules 5 % des entreprises appartiennent à la catégorie Rigoureux, affichant un niveau de maturité élevé pour la majorité des KPI. Les adeptes du style Rigoureux effectuent fréquemment des évaluations des vulnérabilités avec une couverture exhaustive des assets, y compris des évaluations personnalisées et ciblées pour différents groupes d'assets et différentes Business Units.
  • Par ailleurs, 40 % adoptent le style Vigilant, indiquant un niveau de maturité moyen à élevé. Ces entreprises appliquent une cadence de scans soutenue, ont recours aux modèles de scans ciblés et authentifient la plupart de leur assets.
  • 19 % des entreprises sont du type Observateur, ce qui les place à un niveau de maturité faible à moyen. Les Observateurs effectuent des évaluations à large spectre, mais avec peu d'authentification et peu de personnalisation des modèles de scans.
  • Classées dans le style Minimaliste, 33 % des entreprises présentent un niveau de maturité faible et n'effectuent que des évaluations limitées à certains assets.

Rapport Stratégies des Cyber-Défenseurs de Tenable : chiffres clés

Chiffres clés du rapport Stratégies des Cyber-Défenseurs de Tenable, août 2018

Source : Rapport Stratégies des Cyber-Défenseurs de Tenable, août 2018.

L'évaluation des vulnérabilités est essentielle à tous les niveaux de maturité

Vous commencez sans doute à pouvoir caractériser plus précisément vos stratégies d'évaluation des vulnérabilités. Si votre entreprise penche plutôt en faveur des styles Observateur ou Minimaliste à maturité plus faible, ne vous en inquiétez pas. Il n'y a rien de mal à avoir un niveau de maturité faible. En revanche, il est problématique de ne pas chercher à l'améliorer.

Si vous avez adopté la VA sur le tard, vous aurez plus d'efforts à déployer pour rattraper votre retard. Mais cela signifie également que vous pouvez apprendre des erreurs et des expériences des adeptes de la première heure. Au lieu de faire tester des solutions nouvelles, non testées et immatures à votre entreprise, vous aurez déjà des offres éprouvées à votre disposition. Vous pouvez également puiser dans l'expertise existante au lieu d'essayer de concevoir vos stratégies à l'aveugle. En éliminant toute étape d'expérimentation, vous serez à même d'optimiser et d'innover dans les plus brefs délais.

Malgré tout, même si vous appliquez les stratégies d'évaluation des vulnérabilités les plus matures décrites ici, vous ne pouvez pas pour autant vous reposer sur vos lauriers. Mêmes les défenseurs les plus aguerris savent que leur travail n'est jamais terminé.<?p>

L'objectif ultime, quel que soit le style dans lequel vous vous reconnaissez, est de tendre en permanence vers un niveau de maturité supérieur. Nous savons que ce n'est pas facile. Les professionnels de la cybersécurité traînent un lourd bagage historique. Vous gérez des technologies et des dépendances héritées, mais devez également faire face aux complexités liées à la gestion d'un portefeuille toujours plus large de technologies nouvelles et émergentes. Entre-temps, les menaces se sont nettement intensifiées au cours des dernières années et l'environnement concurrentiel fait peser une pression toujours plus forte sur les entreprises.

En matière de cybersécurité, nous avons atteint ce qu'on appelle la vitesse de libération et la plupart des entreprises en sont désormais conscientes.

Notre rapport Stratégies des Cyber-Défenseurs propose des recommandations pour chaque style VA afin de vous aider à accéder au niveau supérieur de maturité. Il explique également comment ces quatre styles VA sont représentés par marché vertical et taille d'entreprise, pour permettre une comparaison aux entreprises similaires à la vôtre. Cliquez ci-dessous pour télécharger le rapport complet.

Pour en savoir plus :

Articles connexes

Des actualités décisives sur la cyber-sécurité

Saisissez votre adresse e-mail et ne manquez plus aucune alerte ni aucun conseil en matière de sécurité de la part de nos experts Tenable.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Les essais de Tenable Vulnerability Management créés partout (excepté aux Émirats arabes unis) incluent Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Les essais de Tenable Vulnerability Management créés partout (excepté aux Émirats arabes unis) incluent Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Les essais de Tenable Vulnerability Management créés partout (excepté aux Émirats arabes unis) incluent Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayez Tenable Web App Scanning

Profitez d'un accès complet à notre dernière offre de scan des applications web conçue pour les applications modernes dans la plateforme de gestion de l'exposition Tenable One. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Votre essai de Tenable Web App Scanning inclut également Tenable Vulnerability Management et Tenable Lumin.

Acheter Tenable Web App Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5  FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable Lumin

Visualisez et explorez votre gestion de la cyber-exposition, suivez la réduction des risques au fil du temps et comparez-la à celle des autres entreprises avec Tenable Lumin.

Votre essai de Tenable Lumin inclut également Tenable Vulnerability Management et Tenable Web App Scanning.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous permettre d'obtenir des informations exploitables sur l'ensemble de votre entreprise et de gérer votre cyber-risque.

Essayer gratuitement Tenable Nessus Professional

GRATUIT PENDANT 7 JOURS

Tenable Nessus est aujourd'hui le scanner de vulnérabilités le plus complet du marché.

NOUVEAU - Tenable Nessus Expert
Maintenant disponible

Nessus Expert offre encore plus fonctionnalités, comme les scans de surface d'attaque externe, et la possibilité d'ajouter des domaines et de scanner l'infrastructure cloud. Cliquez ici pour essayer Nessus Expert.

Remplissez le formulaire ci-dessous pour profiter d'un essai de Nessus Pro.

Acheter Tenable Nessus Professional

Tenable Nessus est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Tenable Nessus Professional vous permet d'automatiser le processus de scan des vulnérabilités, d'écourter les cycles de mise en conformité et de mieux tirer parti de votre équipe informatique.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Essayer gratuitement Tenable Nessus Expert

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous avez déjà Nessus Professional de Tenable ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Acheter Tenable Nessus Expert

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Achetez une licence pluriannuelle pour économiser davantage.

Ajoutez une assistance et une formation