Connaître sa surface d’attaque n’est pas suffisant

Le rapport The 2022 Attack Resistance s’appuie sur les résultats d’une enquête réalisée auprès de 800 organisations en France, au Royaume-Uni, en Allemagne et en Amérique du Nord. Il examine quatre domaines essentiels permettant aux organisations d’évaluer et d’améliorer leur résistance aux cyberattaques :

1. La compréhension de la surface d’attaque.
2. La cadence des tests par rapport aux cycles de lancement des applications.
3. Le type et la fréquence des tests de sécurité.
4. La disponibilité de talents techniques capables de bien mener ces tâches.

En mesurant le niveau de confiance des organisations sur l’ensemble de ces quatre domaines, il apparaît que la France est le pays qui a le score de confiance le plus faible dans sa résistance aux cyberattaques (59 %), en dessous du score de confiance moyen qui s’établit à 63 %.

Voici les principales conclusions de cette enquête :
• Combler le déficit de résistance aux attaques est un véritable défi en France : 27 % des organisations françaises manquent de confiance dans leur capacité à réduire leur déficit de résistance aux attaques (15 % en Allemagne, 17 % au Royaume-Uni, 18 % aux États-Unis).
• Les surfaces d’attaques ne sont pas suffisamment surveillées : 60 % des organisations interrogées avouent qu’un quart de leur surface d’attaque est inconnue ou non observable, ce qui les rend vulnérables aux menaces externes dans le contexte où la transformation numérique s’accélère. En France, 12% des responsables interrogés estiment que plus de la moitié de leur surface d’attaque est inconnue ou non observable. Les organisations françaises sont également celles qui scannent le moins fréquemment leur surface d’attaque - 29 % des responsables IT français interrogés scannent leur surface d’attaque une fois par mois ou encore moins souvent, là où la plupart des organisations des autres régions observées le font quotidiennement (35 % au Royaume-Uni, 38 % aux États-Unis, 41 % en Allemagne et seulement 21 % en France).
• La pénurie de talents techniques diminue la capacité des organisations à protéger leur surface d’attaque. La France est le pays qui exprime le plus d’inquiétudes à ce sujet. 58 % des responsables IT français peinent à trouver des collaborateurs qui maîtrisent la complexité des environnements cloud (contre 53 % au Royaume-Uni, 52 % aux États-Unis, 43 % en Allemagne) et 63 % révèlent que le manque de profils techniques à l’embauche les pousse à externaliser leur sécurité (contre 59 % au Royaume-Uni, 55 % aux États-Unis et 46 % en Allemagne).
• L’insuffisance de tests ajoute une pression supplémentaire. 39 % des organisations françaises réalisent moins de 100 tests de pénétration par an (contre 29 % au Royaume-Uni, 27 % aux États-Unis et 26 % en Allemagne) et 44 % réalisent moins de 100 évaluations de sécurité par an (contre 40 % au Royaume-Uni, 29 % aux États-Unis et 43 % en Allemagne).
• Les outils de gestion de surface d’attaque (ASM - Attack Surface Management) sont davantage perçus comme une obligation qu’un outil stratégique pour améliorer la posture globale de sécurité. Se mettre en conformité avec le RGPD est par exemple la principale raison d’utiliser des outils de gestion de surface d’attaque pour 50 % des responsables IT français interrogés.

“La prise de conscience réduit le risque. Seules les organisations qui mesurent leur déficit de résistance aux attaques sont armées pour le réduire”, a déclaré Marten Mickos, PDG de HackerOne. “Nous avons mené cette enquête pour illustrer le phénomène et donner des pistes d’amélioration. Les organisations qui élargissent le cadre de leurs tests, et qui le font de manière continue peuvent combler ce déficit de résistance aux attaques.”

L’enquête menée par HackerOne a interrogé plus de 800 responsables informatiques d’entreprises chargés des achats de sécurité, dans des organisations américaines et européennes. Elle vise à comprendre l’impact de l’évolution des paysages applicatifs sur les surfaces d’attaque des entreprises et à aider ces dernières à combler le fossé de sécurité entre ce qu’elles possèdent et ce qu’elles peuvent protéger.