Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude CyberVadis : 74 % des entreprises ne surveillent pas les accès d’appareils non-autorisés à leurs systèmes

mai 2021 par CyberVadis

CyberVadis, entreprise française filiale d’EcoVadis, a conduit fin 2020 une étude auprès de 680 entreprises réparties à travers 56 pays, afin de mesurer le niveau de préparation des entreprises en vue de ces pratiques de travail hybrides.

Depuis plus d’un an, la pandémie de COVID-19 a affecté bon nombre de pratiques professionnelles et exposé les systèmes et processus à de nouvelles vulnérabilités potentielles. Alors que le gouvernement français a annoncé les premières étapes de la levée des restrictions pour le mois de mai, les entreprises doivent être préparées à une organisation de travail hybride, entre présentiel et distanciel, en veillant à ce que leurs actifs et leurs réseaux soient bien protégées contre toute tentative de cyberattaque.

Augmentation des risques lorsque les terminaux s’éloignent de l’entreprise ou y sont étrangers

Lorsque les ordinateurs quittent le périmètre du bureau et que les employés accèdent aux informations à distance, le risque de vulnérabilité pour ces données augmente et par conséquent la nécessité de les protéger. Ainsi, il ressort que 42 % des entreprises ont mis en place des méthodes d’authentification forte pour gérer les accès à distance de leurs employés et tiers.

D’autre part, seules 26 % des organisations interrogées autorisent l’accès au réseau interne uniquement aux appareils professionnels. Autrement dit, près de trois quarts des entreprises ne possèderaient donc toujours pas de systèmes permettant de vérifier que des appareils non autorisés n’accèdent pas à leurs réseaux et actifs.

En outre, avec la généralisation du télétravail, de nombreux employés sont autorisés – ou contraints – d’utiliser des appareils personnels dans le cadre de leur mission et ne sont pas toujours formés aux règles de sécurité relatives à ces usages. Les recherches de CyberVadis ont ainsi révélé que 28 % des entreprises ont une autorisation de processus d’attribution d’appareils personnels avec accès aux systèmes d’information. Seuls 15 % des répondants déclarent avoir effectué des contrôles de sécurité sur les appareils non gérés par l’entreprise avant de laisser ces derniers se connecter au réseau interne. Et ce, malgré un risque lié à l’utilisation de cet appareil par des membres du foyer.

« Face aux cyberattaques de plus en plus nombreuses, il est indispensable d’évaluer le niveau de vulnérabilité non seulement de ses propres systèmes mais de l’ensemble de l’écosystème d’une entreprise pour se prémunir contre des pertes ou des vols de données critiques, explique Estelle Joly, VP Strategy & Operations chez CyberVadis. Si une organisation est mature dans la gestion de sa cybersécurité mais que ses partenaires, fournisseursou employés en télétravail ne le sont pas, ils constituent une porte d’entrée pour les potentiels attaquants. »

L’étude a mis en avant le fait que seulement un tiers (34 %) des entreprises évaluent l’engagement contractuel de leurs fournisseurs et partenaires tiers périodiquement. Et 25 % gèrent les risques de leurs fournisseurs de cloud.

Une hygiène de sécurité standard toujours en souffrance, et toujours plus de sensibilisation

Dans le cas d’appareils gérés par l’entreprise, les mesures pourtant considérées comme standard, ne semblent pas largement mises en œuvre. Par exemple, 36 % des entreprises interrogées chiffrent leurs postes de travail, 24 % bloquent l’utilisation de ports USB et seulement 12 % évaluent, testent et valident les correctifs en amont de leur application, ce qui reste bien trop peu dans un contexte de surface d’attaque étendue.

En outre, 43 % des entreprises indiquent ne conduire des campagnes de sensibilisation à la sécurité que de manière périodique, laissant les employés seuls face aux attaques de phishing la majeure partie du temps.

« Depuis la propagation du COVID-19 l’an dernier, les cybercriminels ont profité d’un manque de sensibilisation à la sécurité – qui lors du basculement en télétravail de nombreuses organisations n’était pas une priorité – pour lancer de nouvelles vagues d’attaques, explique Thibault Lapédagne, directeurcybersécurité chez CyberVadis. Les moments de crise sont toujours propices pour les cybercriminels pour lancer des campagnes de phishing, tirer parti des failles générées par les périodes de transition ou d’incertitudes. Dans le cadre de la pandémie, ils ont beaucoup exploité, et continuent de le faire, les campagnes d’informations liées au coronavirus, incitant les employés à cliquer sur des liens malveillants par exemple. C’est pourquoi il est indispensable de poursuivre la sensibilisation des équipes afin de garantir la sécurité de l’écosystème et des données. »

De nombreuses entreprises sont encore en train de rattraper leur retard et un grand nombre de pratiques en matière de sécurité, considérées comme essentielles pour la nouvelle normalité, ne sont pas encore en place. Alors que les cybermenaces sont omniprésentes, les organisations doivent disposer d’une vision du risque cybersécurité précise et argumentée sur l’ensemble de leurs infrastructures mais aussi sur leurs fournisseurs, partenaires ou encore consultants externes, pour être en mesure de maintenir leur activité et de lutter contre les cyberattaques.

Vous pouvez télécharger l’étude en cliquant sur le lien suivant : https://finnpartners.box.com/s/gagdhutfoyqk9kh268favhxidzloxwtw


Voir les articles précédents

    

Voir les articles suivants