L’étude révèle que les professionnels de la sécurité ont été confrontés l’an dernier à 78 attaques en moyenne – ce chiffre monte à 109 sur la France. 28 % étaient des attaques ciblées (24 % en France), l’une des formes de cyber-attaques les plus dangereuses et potentiellement dommageable pour une entreprise. Les répondants s’accordent sur deux leviers clés pour améliorer leurs dispositifs de protection et l’efficacité des équipes RSSI : adopter de meilleurs outils de détection et d’analyse, et davantage former les collaborateurs sur la détection des cyberattaques.
« Lors de la détection et du traitement d’incidents de sécurité, l’importance des dommages potentiels est corrélée au temps de traitement requis », souligne Jon Oltsik, analyste principal chez ESG. « Plus il faut de temps à une entreprise pour identifier, analyser et résoudre une cyberattaque, moins ses actions seront efficaces à empêcher une violation coûteuse des données sensibles. En gardant cela en tête, les RSSI se rappelleront que collecter et traiter les données de cyberattaques améliorent la capacité de détection des menaces et l’efficacité des réponses apportées ».

Les 5 principaux enseignements de l’étude

Plus d’intégration entre les solutions de sécurité
Près de 80 % des personnes interrogées estiment que le manque d’intégration et d’interaction entre les outils de sécurité crée des blocages et limite leur capacité à détecter et à répondre aux menaces. Aujourd’hui, une visibilité complète en temps réel est essentielle pour réagir rapidement en cas d’attaques ciblées ; 37 % des répondants ont appelé à ce titre à une intégration plus poussée entre les outils de sécurité et les autres solutions déployées. De plus, les tâches les plus longues à mener sont celles qui visent à minimiser l’impact d’une attaque – celles-là même qu’une intégration renforcée accélérerait. Ces résultats de l’étude confirment les écueils des architectures IT déployées : bâties avec des douzaines d’outils différents, elles ont créé des silos (outils, consoles d’administration, processus, reporting) qui augmente le temps requis pour agir. Elles produisent également toujours plus de données sur les cyberattaques, dans lesquelles il est facile de se noyer et de ne plus repérer les indicateurs d’attaque pertinents.

Mieux comprendre les cyberattaques
Les professionnels de la sécurité interrogés affirment manquer de compréhension des comportements des utilisateurs, du réseau, de l’application attaquée et du comportement du système hôte pour assurer la cybersécurité en temps réel.
Les quatre principaux types de données collectées sont relatifs au réseau ; 30 % des données concernent l’activité des utilisateurs. Il est clair que la saisie des données n’est pas suffisante. Sans compter que les utilisateurs ont besoin de plus d’aide pour contextualiser les données et comprendre en quoi leur comportement est dangereux. Cet écart explique pourquoi près de la moitié des entreprises au niveau mondial (47 %) estiment que mesurer l’impact ou la portée d’un problème de cybersécurité est particulièrement chronophage. Ils ne sont que 39 % en France.

Affiner l’analyse des données
Les utilisateurs sont conscients de devoir faire évoluer leurs collectes de données : il ne suffit plus de collecter de gros volumes de données sur les cyberattaques, il faut collecter les données les plus pertinentes pour ensuite détecter et évaluer l’impact des incidents. 58 % au niveau mondial ont dit avoir besoin de meilleurs outils de détection (i.e. outils d’analyse statique et dynamique de fichiers basés sur le cloud). La France se distingue avec seulement 48 %. 53 % au niveau mondial (55 % en France) disent avoir besoin de meilleurs outils d’analyse pour transformer les données de sécurité en intelligence décisionnelle. 33 % au niveau mondial (38 % en France) réclament des outils pour définir le comportement normal du SI et ainsi détecter plus rapidement les écarts.

Une expertise renforcée
48 % des interrogés (43 % en France) ont admis manquer de connaissance sur les menaces qui pèsent sur leur entreprise et des compétences disponibles en matière de cybersécurité. 40 % au niveau global (44 % en France) demandent même plus de formation pour améliorer leurs connaissances et leurs compétences en cybersécurité.
Cela laisse à penser que, même avec une plus grande visibilité sur les risques d’attaque et une intégration plus étroite entre outils au sein du SI, les équipes en charge de la cybersécurité ne pourraient pas donner sens aux informations qu’elles obtiendraient. Pourtant, 45 % des répondants se considèrent très bien informés sur les techniques d’intrusion de logiciels malveillants. Les Français sont plus prudents : seulement 33% estiment en savoir suffisamment.

Automatiser pour améliorer l’action
La quantité d’investigations à mener au regard de ressources et compétences limitées engendre un fort désir d’être aidé pour détecter les cyberattaques et les résoudre. 42 % des répondants (39 % en France) ont déclaré que leur action pour minimiser l’impact d’une attaque était l’une des tâches les plus consommatrices de temps. 27 % d’entre eux (20 % en France) sont partants pour automatiser l’analyse avec des outils dédiés pour comprendre les incidents en temps réel ; 15 % souhaitent automatiser les processus pour concentrer les équipes sur des tâches à plus forte valeur ajoutée.

« Le niveau d’investissement et de complexité technique que les cybercriminels ont atteint aujourd’hui pour cibler les entreprises grandit d’année en année », déclare Fabien Rech, Général Manager d’Intel Security France. « C’est la raison pour laquelle il est vital que les entreprises renforcent continuellement, et à tous les niveaux, leur protection et la mise à niveau de leurs mesures de sécurité, formations du personnel et mises à jour des systèmes de défense compris. »

Quelques pistes d’actions pour les RSSI

ESG est convaincu que cette étude d’Intel Security contient une histoire qui va contribuer à améliorer les pratiques de cyber-protection et d’enrichir encore les enseignements déjà appris. Ses conclusions suggèrent fortement aux RSSI de :

• Créer une architecture technologique de sécurité intégrée : les RSSI doivent remplacer les outils individuels de sécurité par une architecture de sécurité intégrée. Cette stratégie vise à améliorer le partage des informations sur les attaques et la visibilité inter-entreprises de l’utilisateur ainsi que l’analyse du réseau, pour apporter des réponses plus efficaces et coordonnées.

• Ancrer leur stratégie de cybersécurité sur l’analyse de données, en privilégiant la valeur des données plutôt que leur volume : les stratégies de cybersécurité doivent être fondées sur des analyses solides. Cela suppose la collecte, le traitement et l’analyse de quantités massives de données internes (logs, flux, paquets de données, analyse des logiciels malveillants statique / dynamique, comportement des utilisateurs, des entreprises, etc.) et externes (renseignements sur les menaces, notifications de vulnérabilité, etc.).

• Automatiser la détection des problèmes et l’activation de la solution de sécurité chaque fois que c’est possible : parce que les entreprises auront toujours du mal à anticiper les techniques d’attaque les plus récentes, les RSSI doivent recourir davantage à l’automatisation en s’appuyant sur des technologies analytiques dédiées aux malwares, des algorithmes intelligents, des outils de machine learning et de détection des menaces, pour comparer les comportements internes susceptible de compromettre des incidents (IOCS) et les tactiques, techniques et procédures (TTP) utilisées par les cyberpirates.

• Continuer à éduquer à la cybersécurité : les RSSI devraient exiger des formations continues sur la cybersécurité pour leurs équipes, afin de comprendre plus en profondeur les menaces et de mieux connaître les pratiques à utiliser pour répondre aux incidents de manière efficace et efficiente.

Méthodologie de l’enquête

Intel Security a interrogé 700 professionnels IT de la sécurité travaillant pour des ETI (entre 500 à 999 employés) et des entreprises de plus de 1 000 collaborateurs, situées en Asie, Amérique du Nord, EMEA et Amérique du Sud. Les personnes interrogées relèvent de secteurs variés dont les technologies de l’information (19 %), l’industrie (13 %), et les services financiers (9 %).