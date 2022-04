Rapport de CyberArk : la forte croissance des identités numériques favorise la hausse de la dette liée à la cybersécurité

avril 2022 par CyberArk

Selon un nouveau rapport mondial de CyberArk, 69 % des professionnels de la sécurité en France affirment que la cybersécurité a été reléguée au second plan l’année dernière, au profit de l’accélération des initiatives numériques. Le rapport CyberArk 2022 Identity Security Threat Landscape illustre la manière dont l’augmentation du nombre d’identités humaines et machines – qui se comptent souvent en centaines de milliers par organisation – a aggravé une « dette » de cybersécurité liée à l’identité, exposant ainsi les organisations à un risque accru dans ce domaine.

Un problème d’identités croissantes

Toute initiative IT ou numérique majeure se traduit par une multiplication des interactions entre les personnes, les applications et les processus, créant ainsi un grand nombre d’identités numériques. Si ces dernières ne sont pas gérées et sécurisées comme il se doit, elles peuvent représenter un risque de cybersécurité important :

• 59 % des agents non humains ou des bots ont accès aux données et aux actifs sensibles en France ;

• L’employé français moyen possède plus de 30 identités numériques1 ;

• Dans une organisation française moyenne, les identités des machines sont désormais 24 fois plus nombreuses que celles des humains, contre 45 en moyenne dans le reste du monde ;

• 85 % des personnes interrogées en France stockent des secrets à plusieurs endroits dans les environnements DevOps, tandis que 82 % déclarent que les développeurs ont généralement plus de privilèges que nécessaire pour s’acquitter de leur rôle.

La surface d’attaque de 2022

Les tendances préjudiciables en termes de transformation numérique, de migration vers le cloud et d’innovation des attaquants, élargissent la surface d’attaque. Le rapport se penche sur la prévalence et le type de cybermenaces auxquelles les équipes de sécurité sont confrontées, ainsi que sur les domaines qu’elles perçoivent comme présentant un risque accru :

• L’accès aux identifiants est le premier domaine de risque identifié par les répondants français (49 %), suivi par la collecte (37 %), l’accès initial (31 %), la découverte (31 %) et l’exfiltration (27 %)2 ;

• Plus de 70 % des organisations françaises interrogées ont subi des attaques par ransomware au cours de l’année écoulée, à raison de deux en moyenne ;

• 52 % des personnes interrogées en France n’ont pris aucune mesure pour sécuriser leur supply chain logicielle après l’attaque contre SolarWinds, et la plupart (60 %) admettent que la compromission d’un fournisseur de logiciels rendrait impossible la neutralisation d’une attaque contre leur organisation.

L’endettement lié à la cybersécurité

Les professionnels de la sécurité en France s’accordent à dire que les récentes initiatives numériques ont un prix. Il s’agit de la dette de cybersécurité : les programmes et outils de sécurité ont évolué mais n’ont pas suivi le rythme des mesures mises en place par les organisations pour soutenir les opérations et la croissance. Cette dette est due à une mauvaise gestion et sécurisation de l’accès aux données et actifs sensibles. Or, un manque de contrôles de sécurité de l’identité augmente les risques et a des conséquences. La dette est en outre aggravée par la montée récente des tensions géopolitiques, qui ont déjà eu un impact direct sur les infrastructures critiques, soulignant la nécessité d’une prise de conscience accrue des conséquences physiques des cyberattaques :

• 69 % des Français sondés reconnaissent que leur organisation a donné la priorité aux opérations commerciales plutôt qu’au renforcement de la cybersécurité au cours des 12 derniers mois.

• Moins de la moitié (48 %) ont mis en place des contrôles de sécurité des identités pour leurs applications critiques.

« Ces dernières années, les dépenses liées aux projets de transformation numérique ont explosé afin de répondre aux exigences changeantes des clients et aux besoins des employés, analyse Udi Mokady, fondateur, président et CEO de CyberArk. Toutefois, les investissements de cybersécurité correspondants n’ont pas suivi. La multiplication des identités et le retard pris dans les investissements dans ce domaine - ce que nous appelons la dette de cybersécurité - exposent les organisations à un risque encore plus important, déjà accentué par les menaces posées par les ransomwares et les vulnérabilités de la supply chain logicielle. Ce paysage de la menace exige une approche de la protection des identités axée sur la sécurité, capable de surpasser l’innovation des attaquants ».

« La crise sanitaire mondiale a mis de nombreuses entreprises en difficulté de manière soudaine, et a créé un besoin immédiat d’adopter rapidement des outils numériques, confie Thomas Hélary, Country Manager France chez CyberArk. La sécurité n’a jamais cessé d’être une préoccupation. Mais, nous pouvons constater en 2022 que cette conversion rapide au numérique, avec la croissance massive du volume des identités machine et humaine que ces initiatives impliquent, s’est faite plus rapidement que les investissements nécessaires pour sécuriser ces initiatives. Cela a considérablement augmenté le risque pour les organisations. Les organisations françaises doivent faire face à cette dette de cybersécurité via des stratégies pour sécuriser l’accès sensible des identités, humaines et non humaines, en appliquant les principes Zero Trust ; afin de réduire la surface des menaces liées à l’identité. De telles politiques sont en cours, car la majorité (57 %) des entreprises qui ont demandé un financement du plan national de relance et de résilience de l’UE veulent investir cette aide dans la cybersécurité. »

Quelles sont les mesures à prendre ?

• Promouvoir la transparence : 81 % des répondants français estiment qu’une nomenclature des logiciels réduirait le risque de compromission provenant de la supply chain logicielle ;

• Mettre en place des stratégies pour gérer les accès sensibles : les trois principales mesures introduites (ou prévues) par la plupart des DSI et RSSI français interrogés dans le cadre de l’enquête sont mentionnées chacune par plus de 50 % des répondants : sécurité du moindre privilège/principes de Zero Trust appliqués à l’infrastructure qui exécute les applications critiques pour l’entreprise ; processus visant à isoler les applications critiques pour l’entreprise des dispositifs connectés à l’internet afin de limiter les mouvements latéraux ; et processus visant à surveiller les comptes et les accès des utilisateurs SaaS.

• Donner la priorité aux contrôles de sécurité des identités pour appliquer les principes de Zero Trust : en France, les trois principales initiatives stratégiques mises en œuvre pour renforcer les principes du Zero Trust sont la sécurité des workloads, celle des dispositifs ainsi que des outils de sécurité des identités.

À propos du rapport

Le rapport CyberArk 2022 Identity Security Threat Landscape présente les résultats d’une étude réalisée à l’échelle mondiale. Celle-ci a été menée par Vanson Bourne auprès de 1 750 décideurs dans le domaine de la sécurité IT et met en lumière leurs expériences de l’année écoulée en matière de soutien aux initiatives numériques en expansion de leurs organisations. Les répondants vivent aux États-Unis, au Royaume-Uni, en France, en Allemagne, au Japon, en Italie, en Espagne, au Brésil, au Mexique, en Israël, à Singapour et en Australie.

1 - Les répondants ont été invités à estimer le nombre d’applications et de comptes, en moyenne, accessibles par chaque membre de leur organisation et non gérés par des identités fédérées. 2- Les répondants ont été interrogés sur les tactiques et techniques des cyberattaquants (telles qu’elles sont présentées dans la matrice MITRE ATT&CK® pour les entreprises, couvrant les techniques basées sur le cloud) qui représentaient le plus de risques pour leur organisation.