Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

Comment les défis liés au personnel, aux processus et à la technologie entravent les équipes de cyber-sécurité

Cyber-sécurité préventive : comment les personnes, les processus et les technologies augmentent le cyber-risque

Dans une étude réalisée en 2023 par Forrester Consulting pour le compte de Tenable, nous avons cherché à comprendre les défis réels qui font obstacle à des pratiques efficaces de réduction du risque. Voici ce que nous avons appris.

À l'heure où les programmes de cyber-sécurité font l'objet d'une surveillance sans précédent de la part des agences gouvernementales, des compagnies d'assurance et des investisseurs, de nombreuses entreprises estiment qu'il est difficile de rendre compte et de communiquer efficacement sur le risque. Elles sont limitées par toute une série de problèmes liés au personnel, aux processus et à la technologie qui, combinés, entravent la pratique d'une cyber-sécurité préventive, alors même que la surface d'attaque devient de plus en plus complexe.

Un nouveau livre blanc, « Les vieilles habitudes ont la vie dure : comment les défis liés au personnel, aux processus et à la technologie entravent les équipes de cyber-sécurité », révèle qu'au cours des deux dernières années, les entreprises étaient en moyenne prêtes à se défendre préventivement contre 57 % des cyber-attaques auxquelles elles ont été confrontées. Cependant, en ne disposant que de cette couverture, elles sont restées vulnérables aux 43 % restant, qu'elles ont été contraintes d'atténuer de manière réactive à défaut de pouvoir les stopper complètement. Près des trois quarts (74 %) des responsables IT et de sécurité estiment que leur entreprise parviendrait mieux à se défendre contre les cyber-attaques si celle-ci consacrait davantage de ressources à la cyber-sécurité préventive. Le livre blanc se base sur une enquête auprès de 825 responsables IT et de cyber-sécurité réalisée en 2023 par Forrester Consulting pour le compte de Tenable.

La complexité de l'infrastructure IT, qui repose sur des systèmes multicloud, un grand nombre d'outils de gestion des identités et des privilèges et de multiples assets exposés au Web, s'accompagne de nombreuses possibilités de mauvaises configurations et d'assets négligés. La cyber-sécurité préventive nécessite une capacité d'évaluer et de prioriser les vulnérabilités et les mauvaises configurations dans leur contexte, en lien avec la priorisation des assets et des données utilisateurs, afin que les employés IT et de cyber-sécurité puissent prendre les bonnes décisions quant aux systèmes ou aux catégories d'utilisateurs et d'assets à remédier en priorité. Cependant, en raison de la nature cloisonnée des milliers de solutions ponctuelles proposées par les fournisseurs de cyber-sécurité, il est pratiquement impossible pour les responsables IT et de sécurité de comprendre toute la profondeur et l'étendue de l'exposition de leur entreprise. 

De nombreuses entreprises ont encore du mal à maîtriser les bases de la correction des vulnérabilités logicielles, alors que ces failles ne sont qu'un élément de leur exposition globale. Le traitement préventif des mauvaises configurations systèmes apporte également son propre lot de défis. Et les difficultés ne s'arrêtent pas là. En effet, les entreprises ont du mal à obtenir une vision précise de leur surface d'attaque, notamment une visibilité sur les assets inconnus, les ressources cloud, les faiblesses du code et les systèmes de droits d'accès utilisateur.

Tout commence par les personnes 

Les processus et orientations internes peuvent créer des conflits qui finissent par faire échouer les efforts de mise en œuvre de stratégies préventives de cyber-sécurité. Les équipes IT et de cyber-sécurité sont souvent cloisonnées, et leurs performances évaluées sur la base de critères et d'objectifs distincts et contradictoires. Par ailleurs, les orientations internes rendent la coordination entre les équipes IT et de sécurité difficile et fastidieuse. 

Le résultat de ce déséquilibre ? Près de six personnes interrogées sur dix (58 %) déclarent que l'équipe de cyber-sécurité est trop occupée à lutter contre les incidents critiques pour adopter une approche préventive visant à réduire l'exposition de leur entreprise. Quatre répondants sur dix (40 %) estiment que la coordination entre les équipes IT et de cyber-sécurité est difficile et chronophage, et près des deux tiers (65 %) affirment que les services IT sont plus préoccupés par le temps de disponibilité que par les correctifs/la remédiation. 

Les systèmes cloisonnés ne sont pas seulement une ponction sur les ressources humaines, ils rendent aussi difficile la création de rapports significatifs sur les risques à partir de sources de données disparates. Sept répondants sur dix (71 %) ont 25 employés ou plus qui se consacrent au déploiement, à l'assistance, à la maintenance et/ou aux relations avec les fournisseurs pour les outils de cyber-sécurité préventive qu'ils utilisent. En moyenne, les entreprises consacrent 15 heures par mois à la création de rapports de sécurité destinés aux dirigeants. 

Les défis liés au personnel engendrent des défis liés aux processus

Les silos organisationnels constituent un obstacle pour une collaboration efficace. Par exemple, bien que la majorité des personnes interrogées (53 %) citent l'infrastructure cloud, en particulier le cloud public, multicloud et/ou hybride, comme étant la plus grande source d'exposition dans leur entreprise, la cyber-sécurité est souvent laissée de côté dans le processus de prise de décision concernant le déploiement d'une infrastructure cloud. 

Plus d'un tiers des responsables IT et de cyber-sécurité reconnaissent que l'équipe de cyber-sécurité n'est pas consultée suffisamment tôt dans le processus de choix et de déploiement des services cloud, tandis que 31 % affirment que leurs équipes commerciales et techniques achètent et déploient des services cloud sans en informer l'équipe de cyber-sécurité.

Des réunions et une communication régulières quant à la criticité des systèmes opérationnels sont essentielles pour réduire le risque, mais ces réunions n'ont lieu qu'une fois par mois, dans le meilleur des cas ! Plus de 20 % des entreprises ne se réunissent qu'une fois par an, voire moins. 

La technologie exacerbe les défis auxquels sont confrontées les équipes de cyber-sécurité

En raison d'une myriade d'outils de cyber-sécurité cloisonnés, il est difficile pour les responsables IT et de cyber-sécurité d'obtenir des informations significatives sur la profondeur et l'étendue de leur exposition. Les professionnels qui utilisent des outils cloisonnés sont incapables de déterminer les relations entre les utilisateurs, les systèmes et les logiciels. De plus, les différences d'indicateurs entre les divers outils rendent presque impossible une évaluation précise du risque. Pour davantage compliquer la situation, trois des quatre outils de cyber-sécurité les plus fréquemment employés se sont avérés réactifs plutôt que préventifs, rendant complexe la mise en œuvre de pratiques de cyber-sécurité proactives. Plus préoccupant encore, la nature cloisonnée des outils de cyber-sécurité fait qu'il est difficile pour les professionnels IT et de sécurité de fournir à leur direction des mesures de gestion du risque complètes et faciles à comprendre. Par conséquent, les dirigeants peinent à comprendre pleinement la posture de risque de l'entreprise, allouer des budgets en conséquence, ou encore répondre aux normes gouvernementales et industrielles en matière de rapports sur le risque. 

Il est également difficile d'obtenir des informations contextuelles d'importance sur les utilisateurs et les privilèges d'accès : sept entreprises sur dix (70 %) affirment que leurs systèmes cloisonnés constituent un obstacle à l'obtention de données utilisateurs. Bien que la plupart des personnes interrogées (75 %) déclarent prioriser la remédiation et la correction des vulnérabilités en fonction des privilèges d'accès et de l'identité utilisateur, la moitié affirme que leur entreprise ne dispose pas d'un moyen efficace d'intégrer ces données dans leurs pratiques de gestion de l'exposition et de cyber-sécurité préventive. 

Pour en savoir plus sur ces défis, comprendre comment des entreprises plus matures les relèvent et obtenir des recommandations pour les prochaines étapes :

Articles connexes

Des actualités décisives sur la cyber-sécurité

Saisissez votre adresse e-mail et ne manquez plus aucune alerte ni aucun conseil en matière de sécurité de la part de nos experts Tenable.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Les essais de Tenable Vulnerability Management créés partout (excepté aux Émirats arabes unis) incluent Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Les essais de Tenable Vulnerability Management créés partout (excepté aux Émirats arabes unis) incluent Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Les essais de Tenable Vulnerability Management créés partout (excepté aux Émirats arabes unis) incluent Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Tenable Web App Scanning

Profitez d'un accès complet à notre dernière offre de scan des applications web conçue pour les applications modernes dans la plateforme de gestion des expositionsTenable One. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Votre essai de Tenable Web App Scanning inclut également Tenable Vulnerability Management et Tenable Lumin.

Acheter Tenable Web App Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable Lumin

Visualisez et explorez votre gestion de l'exposition, suivez la réduction des risques au fil du temps et comparez-la à celle des autres entreprises avec Tenable Lumin.

Votre essai de Tenable Lumin inclut également Tenable Vulnerability Management et Tenable Web App Scanning.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous permettre d'obtenir des informations exploitables sur l'ensemble de votre entreprise et de gérer votre cyber-risque.

Essayer gratuitement Tenable Nessus Professional

GRATUIT PENDANT 7 JOURS

Tenable Nessus est aujourd'hui le scanner de vulnérabilités le plus complet du marché.

NOUVEAU - Tenable Nessus Expert
Maintenant disponible

Nessus Expert offre encore plus fonctionnalités, comme les scans de surface d'attaque externe, et la possibilité d'ajouter des domaines et de scanner l'infrastructure cloud. Cliquez ici pour essayer Nessus Expert.

Remplissez le formulaire ci-dessous pour profiter d'un essai de Nessus Pro.

Acheter Tenable Nessus Professional

Tenable Nessus est aujourd'hui le scanner le plus complet du marché. Tenable Nessus Professional vous permet d'automatiser le processus de scan des vulnérabilités, d'écourter les cycles de mise en conformité et de mieux tirer parti de votre équipe informatique.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Essayer gratuitement Tenable Nessus Expert

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous avez déjà Nessus Professional de Tenable ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Acheter Tenable Nessus Expert

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Achetez une licence pluriannuelle pour économiser davantage.

Ajoutez une assistance et une formation