Actu
Etude : 54 % des entreprises dans le monde ne réalisent pas d’évaluations suffisamment poussées pour se prémunir des risques cyber
août 2022 par Trend Micro
Trend Micro Incorporated révèle de nouveaux résultats issus de l’étude « Mapping the Digital Attack Surface : why organisations are struggling to manage cyber risk » portant sur le comportement des entreprises face à l’expansion de la surface d’attaques cyber. Elle met notamment en lumière la complexité de cartographier correctement le périmètre à risque pour les entreprises et la difficulté à mettre en place le bon niveau de sécurité, en raison d’équipes de de direction trop éloignées de ces problématiques.
En effet, près d’un tiers des responsables et décideurs IT reconnaissent que l’évaluation des risques est le principal domaine de la gestion de la surface d’attaque avec lequel ils ont le plus de difficultés. Une grande majorité (plus de 80 %) se sent davantage exposée/vulnérable aux rançongiciels, aux attaques par hameçonnage ou et aux attaques via l’Internet des objets (IoT).
Toutefois, plus d’un sur deux (54 %) estime ne pas réaliser d’évaluations suffisamment élaborées pour prémunir l’entreprise contre ses risques. Une faiblesse qui semble ne pas s’arrêter là, les environnements technologiques sont jugées trop complexes et le manque de sensibilisation de leur Direction exacerberaient selon eux davantage encore les problèmes de sécurité.
De nombreuses organisations doivent se contenter d’approches manuelles pour cartographier leur surface d’attaque (28 %), et plus d’un tiers signale des difficultés à travailler avec des environnements technologiques multiples (32 %). De telles approches peuvent expliquer pourquoi seules près de 40 % d’entre elles sont en mesure de détailler précisément l’un des éléments suivants à partir de leur évaluation des risques :
• Les niveaux de risque pour les actifs individuels,
• La fréquence des tentatives d’intrusion,
• Les modalités des tentatives d’attaque,
• L’impact d’une violation sur un point précis de leur domaine IT,
• Les points de référence du marché en matière de pratiques de sécurité,
• Les plans d’action préventifs à mettre en oeuvre pour des vulnérabilités spécifiques.
L’incapacité des organisations à évaluer avec précision le risque lié à la surface d’attaque maintient également les chefs d’entreprise dans une trop grande ignorance. Plus de la moitié des responsables et décideurs IT interrogés ont du mal à quantifier l’exposition au risque pour leurs dirigeants. Seuls 3 % pensent que leur Direction comprend pleinement le cyber-risque et ses enjeux stratégiques.
Les entreprises ont donc tout intérêt à s’appuyer sur l’expertise de tiers de confiance.
4 responsables IT sur 10 ont déjà investi dans une approche de la gestion de la surface d’attaque fondée sur une plateforme unique et la moitié des répondants reconnait vouloir faire de même. Ceux qui ont déjà sauté le pas en témoignent, ils ont enregistré une nette amélioration en matière de visibilité de leur surface d’attaque (38 %), une capacité accélérée de détection des brèches (35 %) et de réponse facilitée (34 %) en cas d’incident détecté.
« Nous savions déjà que les organisations étaient préoccupées par l’expansion rapide de la surface d’attaque et de leur peu de visibilité sur leur situation en la matière. Cette étude internationale confirme qu’elles ont également besoin d’une aide urgente pour découvrir et gérer les risques liés à la cybersécurité générale. Dans de nombreux cas, la situation est aggravée par le choix de solutions de sécurité diverses, très souvent cloisonnées. Pour gagner en cyber-résilience, les organisations doivent donc rechercher une offre unifiée malgré la diversité de leurs environnements techniques. Afin de les faire gagner en lisibilité et permettre un pilotage plus efficace de leur cybersécurité globale », explique Nicolas Arpagian, Director Cybersecurity Strategy - Trend Micro.
La cybersécurité des entreprises françaises
Force est de constater que les entreprises françaises ne font pas figure d’exception. Un peu plus de la moitié d’entre elles ont encore du mal à évaluer leur exposition aux risques numériques. Néanmoins, les responsables et décideurs IT font de leur mieux : neuf sur dix (91 %) estiment avoir partiellement défini leur surface d’attaque.
Ils sont toutefois 58 % à reconnaître la complexité d’appréciation de cette dernière mais estiment être parvenus à la contrôler.
Dans les faits, les équipes françaises affichent plutôt une position de confiance. Une grande majorité des équipes (89 %) admet analyser et mettre à jour leur exposition au risque au moins une fois par mois. Parmi elles, 90 % s’accordent à dire qu’elles peuvent au moins détailler avec une certaine précision les plans d’action préventifs pour des vulnérabilités particulières ainsi que les tendances des tentatives d’attaques. 94 % des répondants français déclarent que leur organisation dispose d’au moins une méthode bien définie pour évaluer l’exposition au risque de leur surface d’attaque.
Mais le périmètre d’attaque ne cesse d’évoluer et ils en ont conscience. De fait, leurs préoccupations évoluent. Le danger induit par la surface d’attaque préoccupe les 3/4 des responsables IT français. Cela les pousse à s’intéresser davantage aux ressources de leur organisation en matière de sécurité, pour être en mesure d’affirmer avec certitude le domaine touché (88 %).
Méthodologie : Trend Micro a interrogé 6 297 responsables IT et décideurs dans 29 pays.
#Cybersécurité #CyberRisques #Cyberisk
