Comment les défis liés au personnel, aux processus et à la technologie entravent les équipes de cyber-sécurité

Dans une étude réalisée en 2023 par Forrester Consulting pour le compte de Tenable, nous avons cherché à comprendre les défis réels qui font obstacle à des pratiques efficaces de réduction du risque. Voici ce que nous avons appris.

À l'heure où les programmes de cyber-sécurité font l'objet d'une surveillance sans précédent de la part des agences gouvernementales, des compagnies d'assurance et des investisseurs, de nombreuses entreprises estiment qu'il est difficile de rendre compte et de communiquer efficacement sur le risque. Elles sont limitées par toute une série de problèmes liés au personnel, aux processus et à la technologie qui, combinés, entravent la pratique d'une cyber-sécurité préventive, alors même que la surface d'attaque devient de plus en plus complexe.

Un nouveau livre blanc, « Les vieilles habitudes ont la vie dure : comment les défis liés au personnel, aux processus et à la technologie entravent les équipes de cyber-sécurité », révèle qu'au cours des deux dernières années, les entreprises étaient en moyenne prêtes à se défendre préventivement contre 57 % des cyber-attaques auxquelles elles ont été confrontées. Cependant, en ne disposant que de cette couverture, elles sont restées vulnérables aux 43 % restant, qu'elles ont été contraintes d'atténuer de manière réactive à défaut de pouvoir les stopper complètement. Près des trois quarts (74 %) des responsables IT et de sécurité estiment que leur entreprise parviendrait mieux à se défendre contre les cyber-attaques si celle-ci consacrait davantage de ressources à la cyber-sécurité préventive. Le livre blanc se base sur une enquête auprès de 825 responsables IT et de cyber-sécurité réalisée en 2023 par Forrester Consulting pour le compte de Tenable.

La complexité de l'infrastructure IT, qui repose sur des systèmes multicloud, un grand nombre d'outils de gestion des identités et des privilèges et de multiples assets exposés au Web, s'accompagne de nombreuses possibilités de mauvaises configurations et d'assets négligés. La cyber-sécurité préventive nécessite une capacité d'évaluer et de prioriser les vulnérabilités et les mauvaises configurations dans leur contexte, en lien avec la priorisation des assets et des données utilisateurs, afin que les employés IT et de cyber-sécurité puissent prendre les bonnes décisions quant aux systèmes ou aux catégories d'utilisateurs et d'assets à remédier en priorité. Cependant, en raison de la nature cloisonnée des milliers de solutions ponctuelles proposées par les fournisseurs de cyber-sécurité, il est pratiquement impossible pour les responsables IT et de sécurité de comprendre toute la profondeur et l'étendue de l'exposition de leur entreprise. 

De nombreuses entreprises ont encore du mal à maîtriser les bases de la correction des vulnérabilités logicielles, alors que ces failles ne sont qu'un élément de leur exposition globale. Le traitement préventif des mauvaises configurations systèmes apporte également son propre lot de défis. Et les difficultés ne s'arrêtent pas là. En effet, les entreprises ont du mal à obtenir une vision précise de leur surface d'attaque, notamment une visibilité sur les assets inconnus, les ressources cloud, les faiblesses du code et les systèmes de droits d'accès utilisateur.

Tout commence par les personnes 

Les processus et orientations internes peuvent créer des conflits qui finissent par faire échouer les efforts de mise en œuvre de stratégies préventives de cyber-sécurité. Les équipes IT et de cyber-sécurité sont souvent cloisonnées, et leurs performances évaluées sur la base de critères et d'objectifs distincts et contradictoires. Par ailleurs, les orientations internes rendent la coordination entre les équipes IT et de sécurité difficile et fastidieuse. 

Le résultat de ce déséquilibre ? Près de six personnes interrogées sur dix (58 %) déclarent que l'équipe de cyber-sécurité est trop occupée à lutter contre les incidents critiques pour adopter une approche préventive visant à réduire l'exposition de leur entreprise. Quatre répondants sur dix (40 %) estiment que la coordination entre les équipes IT et de cyber-sécurité est difficile et chronophage, et près des deux tiers (65 %) affirment que les services IT sont plus préoccupés par le temps de disponibilité que par les correctifs/la remédiation. 

Les systèmes cloisonnés ne sont pas seulement une ponction sur les ressources humaines, ils rendent aussi difficile la création de rapports significatifs sur les risques à partir de sources de données disparates. Sept répondants sur dix (71 %) ont 25 employés ou plus qui se consacrent au déploiement, à l'assistance, à la maintenance et/ou aux relations avec les fournisseurs pour les outils de cyber-sécurité préventive qu'ils utilisent. En moyenne, les entreprises consacrent 15 heures par mois à la création de rapports de sécurité destinés aux dirigeants. 

Les défis liés au personnel engendrent des défis liés aux processus

Les silos organisationnels constituent un obstacle pour une collaboration efficace. Par exemple, bien que la majorité des personnes interrogées (53 %) citent l'infrastructure cloud, en particulier le cloud public, multicloud et/ou hybride, comme étant la plus grande source d'exposition dans leur entreprise, la cyber-sécurité est souvent laissée de côté dans le processus de prise de décision concernant le déploiement d'une infrastructure cloud. 

Plus d'un tiers des responsables IT et de cyber-sécurité reconnaissent que l'équipe de cyber-sécurité n'est pas consultée suffisamment tôt dans le processus de choix et de déploiement des services cloud, tandis que 31 % affirment que leurs équipes commerciales et techniques achètent et déploient des services cloud sans en informer l'équipe de cyber-sécurité.

Des réunions et une communication régulières quant à la criticité des systèmes opérationnels sont essentielles pour réduire le risque, mais ces réunions n'ont lieu qu'une fois par mois, dans le meilleur des cas ! Plus de 20 % des entreprises ne se réunissent qu'une fois par an, voire moins. 

La technologie exacerbe les défis auxquels sont confrontées les équipes de cyber-sécurité

En raison d'une myriade d'outils de cyber-sécurité cloisonnés, il est difficile pour les responsables IT et de cyber-sécurité d'obtenir des informations significatives sur la profondeur et l'étendue de leur exposition. Les professionnels qui utilisent des outils cloisonnés sont incapables de déterminer les relations entre les utilisateurs, les systèmes et les logiciels. De plus, les différences d'indicateurs entre les divers outils rendent presque impossible une évaluation précise du risque. Pour davantage compliquer la situation, trois des quatre outils de cyber-sécurité les plus fréquemment employés se sont avérés réactifs plutôt que préventifs, rendant complexe la mise en œuvre de pratiques de cyber-sécurité proactives. Plus préoccupant encore, la nature cloisonnée des outils de cyber-sécurité fait qu'il est difficile pour les professionnels IT et de sécurité de fournir à leur direction des mesures de gestion du risque complètes et faciles à comprendre. Par conséquent, les dirigeants peinent à comprendre pleinement la posture de risque de l'entreprise, allouer des budgets en conséquence, ou encore répondre aux normes gouvernementales et industrielles en matière de rapports sur le risque. 

Il est également difficile d'obtenir des informations contextuelles d'importance sur les utilisateurs et les privilèges d'accès : sept entreprises sur dix (70 %) affirment que leurs systèmes cloisonnés constituent un obstacle à l'obtention de données utilisateurs. Bien que la plupart des personnes interrogées (75 %) déclarent prioriser la remédiation et la correction des vulnérabilités en fonction des privilèges d'accès et de l'identité utilisateur, la moitié affirme que leur entreprise ne dispose pas d'un moyen efficace d'intégrer ces données dans leurs pratiques de gestion de l'exposition et de cyber-sécurité préventive. 

Pour en savoir plus sur ces défis, comprendre comment des entreprises plus matures les relèvent et obtenir des recommandations pour les prochaines étapes :

• Rejoignez les dirigeant (IO,CSO et CTO) de Tenable le 14 décembre 2023 à 14h ET pour un webinaire – En savoir plus et s'inscrire ici

• Lisez le livre blanc : Les vieilles habitudes ont la vie dure :comment les défis liés au personnel, aux processus et à la technologie entravent les équipes de cyber-sécurité ».