Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Une étude de ServiceNow révèle le paradoxe des correctifs de sécurité

avril 2018 par ServiceNow

ServiceNow, Inc. publie une nouvelle étude intitulée « Today’s State of Vulnerability Response : Patch Work Demands Attention » (Etat des lieux de la réponse aux vulnérabilités : attention aux correctifs !) et tirée d’une enquête réalisée en collaboration avec Ponemon Institute. L’étude révèle le « paradoxe des correctifs » de sécurité, à savoir qu’il ne suffit pas simplement de recruter pour renforcer la sécurité. Tandis que les équipes de sécurité prévoient d’embaucher davantage de ressources pour répondre aux vulnérabilités – et y sont peut-être contraintes - cela n’améliorera pas pour autant leur situation si elles ne corrigent pas aussi leurs procédures d’installation des correctifs.

Les entreprises ont des difficultés avec les correctifs car elles appliquent des procédures manuelles et ne peuvent distinguer les priorités. D’après cette étude, des procédures efficaces de réponse aux vulnérabilités revêtent une importance critique car la rapidité d’exécution est le plus sûr moyen pour les entreprises de colmater les failles de sécurité.

ServiceNow a interrogé près de 3000 professionnels de la sécurité dans neuf pays, dont 369 en France, afin de déterminer l’efficacité de leurs outils et procédures de réponse aux vulnérabilités, c’est-à-dire la façon dont les entreprises priorisent et corrigent les failles dans des logiciels susceptibles de servir de vecteurs d’attaques.

« Le recrutement de compétences supplémentaires ne répondra pas au cœur du problème qui ronge aujourd’hui les équipes de sécurité », commente Matthieu De Montvallon, Directeur Technique chez ServiceNow France. « C’est l’automatisation des procédures de routine et la priorisation des vulnérabilités qui aideront les entreprises à éviter le “paradoxe des correctifs” et à se concentrer plutôt sur les tâches critiques afin de réduire considérablement le risque d’un piratage. »

Les entreprises prévoient d’investir dans du personnel supplémentaire pour répondre aux vulnérabilités

Les équipes de cybersécurité consacrent déjà une part non-négligeable de leurs ressources à la gestion des correctifs, part qui est appelée à croître :
• Les entreprises françaises passent 315 heures par semaine en moyenne (contre 321 heures pour l’ensemble des pays étudiés) – soit l’équivalent d’environ huit emplois à plein temps – à répondre aux vulnérabilités.
• 66 % des participants français à l’enquête déclarent prévoir recruter plus de ressources spécialisées dans les correctifs au cours des 12 prochains mois.
• En moyenne, les entreprises françaises interrogées prévoient de créer environ 3,6 postes dédiés à la réponse aux vulnérabilités, soit une augmentation de 46 % des effectifs par rapport aux niveaux actuels.

Recruter n’est pas la solution : les équipes gèrent des procédures inappropriées

Un renfort de compétences en cybersécurité risque de ne pas être possible. Selon l’ISACA, une association professionnelle internationale dans le secteur de l’informatique, la pénurie de professionnels de la cybersécurité au niveau mondial se chiffrera à 2 millions de postes en 2019. Selon l’étude, le recrutement ne résoudra pas les défis auxquels font face les entreprises françaises en matière de réponse aux vulnérabilités. En effet :
• 56 % d’entre elles disent passer plus de temps à gérer des procédures manuelles qu’à traiter les vulnérabilités.
• Les équipes de sécurité en France ont perdu en moyenne 13,2 jours à coordonner manuellement les opérations de correction entre elles.
• 55 % jugent difficiles de définir ce qui doit être corrigé en priorité (contre 65 % pour l’ensemble des pays étudiés).
• 64 % se disent pénalisées par les procédures manuelles lorsqu’il s’agit de corriger des vulnérabilités.
• 54 % estiment que les pirates maîtrisent mieux que les entreprises des technologies telles que l’apprentissage automatique (machine learning) et l’intelligence artificielle (AI).
• Le volume des cyberattaques a augmenté de 17,2 % l’an passé, et leur gravité de 24 %.

« La majorité des piratages de données se produisent en raison d’une faille non corrigée, car de nombreuses entreprises peinent à respecter une hygiène élémentaire dans ce domaine », observe Matthieu De Montvallon. « Les auteurs de cyberattaques exploitent les technologies les plus innovantes et les équipes de sécurité sont désarmées si elles ne changent pas d’approche. »

La rapidité de détection et de correction des vulnérabilités réduit nettement le risque de piratage

Les entreprises qui ont été piratées ont des problèmes avec leurs procédures de réponse aux vulnérabilités, comparées à celles qui ne l’ont pas été :
• 47 % des entreprises françaises ont subi un piratage ces deux dernières années, contre 48 % pour la totalité des participants à l’enquête.
• Près de la moitié (44 %) des victimes françaises d’un piratage indiquent que celui-ci était imputable à une vulnérabilité pour laquelle un correctif était déjà disponible (57 % pour l’ensemble du panel).
• 30 % des professionnels français de la sécurité avaient bien conscience de leur vulnérabilité avant que l’attaque ne survienne.
• Les entreprises françaises ayant échappé aux piratages se classent 29 % plus haut pour leur rapidité d’application des correctifs (41 % pour l’ensemble du panel) que celles qui ont été piratées.
• 42 % des victimes reconnaissent ne pas rechercher les vulnérabilités.

« Si votre bateau a une voie d’eau, des bras supplémentaires sont utiles pour écoper », compare Matthieu De Montvallon. « Notre étude montre que la plupart des entreprises cherchent des personnes et des seaux pour écoper au lieu de déterminer l’ampleur de la fuite. »

Il est possible de pallier les défaillances des procédures

Voici cinq grandes recommandations fournissant aux entreprises une feuille de route pragmatique pour renforcer leur sécurité :
• Dresser un inventaire objectif des capacités de réponse aux vulnérabilités.
• Gagner du temps en traitant en priorité les failles les plus accessibles.
• Eviter le temps perdu en « coordination », en éliminant les frontières entre les équipes de sécurité et informatiques.
• Définir et optimiser des procédures de bout-en-bout, puis les automatiser autant que possible.
• Retenir les compétences en se concentrant sur la culture et l’environnement.




Voir les articles précédents

    

Voir les articles suivants