28 entretiens ont été réalisés avec des RSSI travaillant aux États-Unis, au Royaume-Uni et en Europe. Ces professionnels ont décrit leur travail comme une lutte permanente contre les assauts répétés des pirates informatiques. Ils ont évoqué un environnement de travail fragmenté, une « dette de sécurité », ainsi que la nécessité de redéfinir en continu les contours d’une sécurité efficace.

Les attaques se multiplient et les employés sont pris pour cible, au bureau… et chez eux.
Les RSSI tiennent à souligner la différence entre une cyber attaque et un cyber incident, afin que la presse et les fournisseurs de cyber sécurité puissent faire clairement la distinction.
Une cyberattaque est une tentative de violation des politiques de sécurité d’un système ayant pour objectif d’altérer l’intégrité, la disponibilité, et/ou l’accès à un ou plusieurs systèmes. Elle peut être couronnée de succès ou bien échouer. À l’inverse, le cyber incident implique toujours une atteinte avérée à la sécurité du système.

Les RSSI ont indiqué que les volumes de cyberattaques auxquels ils ont été confrontés avaient connu une nette augmentation au cours des 18 derniers mois. Toutefois, le nombre de cyber incidents, lui, est resté stable. Comment expliquer cet écart ? Cela pour s’expliquer par le fait qu’ils ont réalisé les bons investissements. Cependant, ce sont les incidents qui n’ont pas été découverts qui peuvent être les plus inquiétants. En raison de la nature sophistiquée de certaines de ces attaques, les organisations peuvent ne pas disposer de la technologie ou des personnes adéquates pour identifier qu’elles sont au coeur d’une compromission qui peut entraîner le déploiement d’un ransomware des mois plus tard.

Ils ont évoqué trois menaces particulièrement fréquentes :

Le phishing
Le ransomware (ou logiciel rançonneur)
Les attaques BEC (Business Email Compromise)

Ils ont toutefois précisé que, désormais, les hackers multiplient les vecteurs d’attaques. Certaines des attaques ci-dessous sont cités comme étant un challenge pour eux :
Aux chevaux de Troie (qui ciblent les employés travaillant à distance) ;
Aux fuites de données (de sources extérieures) ;
Aux attaques DDoS
Au vol d’identifiants/comptes (par ingénierie sociale/phishing) ;
Aux malwares avancés.

La vulnérabilité la plus ciblée reste, en tout état de cause, la faiblesse humaine… Les hackers cherchent à tirer profit des erreurs commises par les employés eux-mêmes.

Près des trois quarts (71 %) des RSSI reconnaissent que la faiblesse humaine reste l’une de leurs principales préoccupations en matière de sécurité. Les attaques d’ingénierie sociale et de phishing ciblent les individus, directement ou indirectement. Et personne n’est à l’abri : les réceptionnistes, aussi bien que les dirigeants d’entreprise, sont visés par ces attaques.
Heureusement, la plupart des tentatives de phishing sont bloquées par les produits de protection de la messagerie et les autres outils de sécurité anti-phishing. Pour autant, les évolutions liées au télétravail et à la pandémie ont fait naître de nouveaux défis pour les RSSI.

La mobilité et la flexibilité des employés impliquent davantage de risques :

Les chevaux de Troie

Il est plus facile de compromettre des ordinateurs d’entreprise qui se connectent depuis l’extérieur du réseau. Une fois compromis, ces machines fournissent un point d’accès pour infecter le reste du réseau, ce qui permet à des milliers de travailleurs d’exploiter de manière innocente le malware.

Environnements hybrides

Le va-et-vient permanent entre les applications professionnelles et sociales crée un risque permanent.

Contamination

Les ordinateurs d’entreprise utilisés à la maison, en particulier ceux utilisés à des fins non professionnelles, peuvent être utilisés à des fins d’ingénierie sociale, impactant le reste de l’inventaire informatique, sans jamais entrer au bureau. Une fois infectées, ces machines peuvent alors accéder au reste du réseau d’entreprise comme un cheval de Troie.

La dette de sécurité

Les RSSI évoquent une « dette de sécurité ». Les hackers bénéficient d’avantages par rapport aux équipes de sécurité : plus de temps et pas de réglementation à respecter.
Les nouveaux outils de sécurité, les initiatives pour conduire la sécurité dès la conception aux premiers stades de nouveaux projets professionnels, et la sensibilisation en interne doivent constituer des priorités mais ce n’est pas toujours le cas. Selon les RSSI interrogés, les lacunes des entreprises s’expliquent notamment par les contraintes budgétaires, le manque de ressources ou encore la priorité donnée aux activités plus commerciales. Une entreprise n’a jamais pour seul et unique but de défendre son réseau : elle veille avant tout à développer son activité. À l’inverse, les cybercriminels ne poursuivent qu’une seule finalité : l’attaque. Et ils y consacrent tous leurs efforts.

72% des RSSI déclarent que les hackers disposent d’une marge de manœuvre plus importante, comparé aux entreprises qui, elles, gèrent des budgets fluctuants, font face à de nombreuses contraintes réglementaires, et pondèrent leurs contrôles de sécurité pour préserver leur efficacité opérationnelle.

Les RSSI s’accordent sur le fait que les cybercriminels ont augmenté leurs capacités d’attaque. 96 % expliquent avoir été confrontés à des structures cybercriminelles particulièrement organisées.
Dans leurs attaques, les cybercriminels peuvent utiliser leur propre code alors que les RSSI ne disposent généralement pas des ressources nécessaires pour développer leurs propres outils. Ils sont tributaires des fournisseurs de sécurité et doivent sans cesse réévaluer les produits disponibles pour savoir lesquels répondent le mieux aux besoins de leur organisation.

Qu’est-ce qu’une « sécurité efficace » ?

Défendre une entreprise face aux hackers tient du défi. Comme l’explique l’un des RSSI interrogés, « l’entreprise doit déjouer chacune des attaques menées à son encontre. Le pirate, lui, n’a besoin de gagner qu’une seule bataille pour parvenir à ses fins. » Pour faire face, les RSSI sont contraints de redéfinir constamment la notion de « sécurité efficace ».
Comme l’expliquent ces professionnels, il est essentiel de veiller à l’installation des patchs logiciels, et à l’optimisation des technologies héritées. Ces processus de sécurité fondamentaux restent pour les RSSI des atouts majeurs dans la lutte contre les cybercriminels, et ce, malgré la sophistication des attaques.

Les RSSI se heurtent ainsi à certaines réserves au sein même de leur entreprise. Parallèlement, ils font face, sur le terrain, à des réalités inédites liées à la pandémie. Résultat : 71 % d’entre eux indiquent que leur propre regard sur la sécurité a évolué.

29 % des RSSI continuent de penser qu’une sécurité efficace doit avant tout s’appuyer sur les processus de base, plutôt que sur de nouvelles technologies. D’autres insistent sur l’importance de la formation et de la sensibilisation, grâce auxquelles les parties prenantes accordent plus d’importance à la sécurité.

En tout état de cause, tous les RSSI interrogés constatent que leur entreprise leur attribue une part de responsabilité de plus en plus grande en cas de cyber incident, et ce, malgré des ressources limitées, un nombre croissant d’attaques, et une lutte constante pour faire reconnaître certaines priorités.

- Pour obtenir des conseils sur la réduction efficace des risques, consultez notre rapport.