Les conclusions des travaux mens par les chercheurs de Splunk montrent que les applications critiques de 62 % dentreprises subissent chaque mois des temps d’arrt non planifis, en raison d’un incident de cyberscurit au moins une fois par mois, une augmentation par rapport 54 % en 2022.
Les cyberattaques continuent de crotre en quantit et en qualit, tandis que les systmes des entreprises deviennent de plus en plus complexes. Les quipes de scurit, comme toujours, ressentent le stress. Mais l’un des rsultats surprenants de ltude de Splunk en 2023 sur l’tat de la scurit est que le nombre de personnes interroges qui dclarent ne pas pouvoir suivre le rythme a diminu.
Le rapport indique galement que les cybercriminels passent inaperus sur les rseaux d’entreprise pendant de longues priodes. En moyenne, les personnes interroges indiquent qu’il s’coule plus de deux mois entre le moment o un acteur malveillant accde l’entreprise et le moment o les parties concernes en prennent connaissance.
Les quipes de scurit dpensent de plus en plus d’argent : 95 % des personnes interroges dclarent que leur budget de scurit augmentera au cours des deux prochaines annes. En outre, 81 % des organisations affirment qu’elles font converger certains aspects de leurs oprations de scurit et d’informatique. Les personnes interroges estiment que cette convergence contribuera la visibilit globale des risques dans leur environnement (58 %) et qu’elles constateront une meilleure coopration dans les processus d’identification des menaces et de rponse (55 %).
La protection de la chane d’approvisionnement fait galement l’objet d’une attention accrue, puisque 95 % des personnes interroges dclarent s’intresser davantage l’valuation des risques par des tiers. Par ailleurs, 91 % des personnes interroges reconnaissent qu’une meilleure saisie et analyse des donnes de dtection est l’un des outils les plus efficaces pour prvenir les attaques russies de ranongiciel.
Dans les organisations avec lesquelles nous avons travaill, la rsilience a t la plus forte grce une approche collaborative dans tous les domaines, du dveloppement de logiciels et de la surveillance de l’infrastructure la planification de la continuit des activits , dclare Ryan Kovar, stratge distingu en matire de scurit chez Splunk. Cette approche met tout le monde autour de la table, y compris les responsables de la scurit, les responsables informatiques et les dirigeants d’entreprise, afin qu’ils puissent tous se concentrer sur la protection de l’organisation.
53 % des personnes interroges dans le monde disent qu’il est plus difficile de se conformer aux exigences de scurit qu’il y a deux ans, et c’est encore beaucoup. Mais en 2022, ce chiffre tait de 66 %. Des experts en scurit notent que 2022 n’a pas connu autant de nouveauts susceptibles de dstabiliser les quipes de scurit.
Que ces donnes reprsentent une amlioration progressive ou une aubaine ponctuelle, les organisations doivent s’efforcer de tirer parti de tout avantage. Ce qui ne sera pas facile : la plupart des quipes de scurit disent qu’elles sont trop bloques en mode ractif pour tre rellement proactives.
Il a t demand la petite majorit de ceux qui affirment que leur travail est devenu plus difficile de dire ce qui le rend plus difficile. Les principaux dfis de ce sous-ensemble :
- la sophistication croissante des menaces (selon 38 % des rpondants, qui la classent au premier rang pour la troisime anne conscutive) ;
- la complexit de la pile de scurit (selon 30 %) ;
- l’IaaS et le SaaS posent des dfis en matire de surveillance et de gestion des risques (29 % et 28 %, respectivement) ;
- les exigences de la charge de travail qui pigent les quipes en mode raction (28 %).
Ce dernier point se reflte galement dans plusieurs rponses. Les rpondants disent qu’ils sont submergs par le nombre d’attaques (24 %) et de faux positifs (25 %). 25 % d’entre eux affirment qu’ils ont du mal embaucher ou conserver suffisamment de personnel qualifi. Il existe des variations globales en termes de lutte.
Les organisations de la rgion Asie-Pacifique sont cinq sept points de pourcentage plus susceptibles que la moyenne mondiale de dire qu’il est difficile de surveiller les applications SaaS et d’analyser efficacement toutes les donnes de scurit. Les rpondants europens sont moins susceptibles d’exprimer cette plainte, tandis que les organisations nord-amricaines se rapprochent de la moyenne mondiale. Lorsqu’on leur a demand de citer leurs trois principales priorits, les personnes interroges ont le plus souvent cit les suivantes.
Principales initiatives en matire de scurit
Il a t constat que dans tous les secteurs d’activit et dans toutes les rgions, les responsables de la scurit et leurs collgues collaborent de plus en plus pour amliorer la rsilience. La cyberscurit classique se proccupe de la prvention proactive des incidents, tandis que la rsilience est ractive : il s’agit de ce que beaucoup font une fois qu’un incident s’est produit.
L’valuation des risques, la planification de la rponse aux incidents et les investissements cls dans la technologie et la formation, entre autres, exigent une rflexion stratgique qui dpasse le cadre strict de la cyberscurit. 79 % des parties prenantes de la ligne de mtier considrent l’quipe de scurit comme un partenaire prcieux, rcompensant ces quipes par un sige la table de collaboration et un meilleur financement. Les chefs d’entreprise qui fixent le budget de la scurit se penchent de plus en plus sur les paramtres qui mesurent la rsilience, en commenant par le temps moyen de rcupration.
Dans l’ensemble, qu’ils se disent dbords ou non, les rpondants ont identifi une srie diffuse de dfis. Bien qu’aucun type de crise ne domine, le problme gnralis de passer trop de temps faire face aux urgences s’est hiss une confortable premire place. Les causes de ce mode de raction perptuel sont nombreuses et, franchement, il n’y a pas beaucoup de solutions. Les organisations subissent des cyberattaques par milliers, de sorte qu’une position ractive est invitable. Bien que les quipes de scurit intelligentes fassent de leur mieux pour devancer les vecteurs d’attaque connus.
La sophistication croissante de la technologie, des modes d’utilisation des donnes et des mthodes d’attaque signifie que les normes rglementaires vont (ventuellement) augmenter elles aussi.
L’tat du SOC
Comme l’indiquent les pages prcdentes, les quipes de scurit sont mises rude preuve. Le centre d’oprations de scurit d’aujourd’hui a beaucoup de choses couvrir, et pas assez de personnes pour le faire.
- 64 % des quipes SOC se plaignent de devoir pivoter entre trop d’outils de scurit et de consoles de gestion disparates, avec peu (ou pas) d’intgration, ce qui empche des investigations et des rponses compltes et rapides ;
- 49 % dclarent manquer de personnel pour enquter et rpondre un volume croissant d’vnements de scurit.
Le rsultat : un risque accru rsultant de leur charge de travail. En moyenne, les personnes interroges estiment que 41 % des alertes qu’il serait utile d’examiner sont ignores en raison d’un manque de bande passante SOC disponible. Les alertes non examines pourraient inclure un vrai positif, permettant une attaque d’aboutir.
Cette situation compromet tout : le rendement rel de linvestissement dans les outils coteux qui gnrent ces alertes, l’efficacit et le moral de lquipe d’analystes, ainsi que la scurit et la rsilience relles de votre organisation.
Points essentiels par pays Panorama de l’tat de la scurit dans le monde
En Australie et en Nouvelle-Zlande
Les ranongiciels ne sont pas vraiment au premier rang des proccupations : seuls 19 % d’entre eux le considrent comme une priorit pour l’anne prochaine, contre 29 % des personnes interroges dans le reste de la rgion Asie-Pacifique. Il est possible que cela soit li au fait que les organisations d’Australie et de Nouvelle-Zlande semblent compter davantage sur la cyberassurance pour les ranongiciels que leurs homologues, de sorte que le verrouillage des systmes est peut-tre simplement un cot d’exploitation.
Parmi les organisations qui ont t victimes d’attaques russies par ranongiciels, 38 % en Nouvelle-Zlande dclarent que leur compagnie d’assurance a le plus souvent pay (contre 21 % de leurs homologues dans le reste du monde). Certainement que les taux d’assurance sont meilleurs l-bas, puisque les ranons ont tendance tre moins leves en Nouvelle-Zlande que dans le reste du monde.
Autres rsultats notables :
- les ciSO ont tendance se runir moins souvent avec leurs homologues du LOB : seuls 14 % des rpondants affirment que leur ciSO organise des runions d’information hebdomadaires sur la posture de scurit, soit moins de la moiti de la frquence (30 %) rapporte par les rpondants du reste du monde ;
- bien que les organisations de la Nouvelle-Zlande soient lgrement plus susceptibles d’appeler DevSecOps un domaine d’intrt assez important, elles rapportent moins de succs dans ce domaine. Seulement 49 % dclarent que DevSecOps a permis de rduire les incidents (contre 60 % dans le reste du monde), et uniquement 48 % dclarent qu’il a aid la conformit (contre 63 %).
Canada
Les personnes interroges au Canada sont gnralement plus inquites de l’augmentation des menaces et des exigences en matire de scurit ; 76 % d’entre elles dclarent qu’il est devenu plus difficile de se conformer aux exigences en matire de scurit au cours des deux dernires annes, contre 51 % dans le reste du monde. Ce pessimisme est peut-tre justifi.
La confiance des Allemands s’explique peut-tre par leurs progrs en matire de rsilience : 27 % d’entre eux dclarent avoir adopt une approche formelle de la cyberrsilience l’chelle de leur organisation, contre seulement 18 % des autres rpondants de la rgion (ce qui place les Allemands dans la ligne des normes mondiales, et non en avance sur elles).
Il se peut galement que les organisations allemandes aient connu moins d’incidents. Uniquement 40 % d’entre elles dclarent avoir t victimes d’une intrusion au cours des deux dernires annes, contre 57 % sur les autres marchs europens tudis et 53 % dans le reste du monde. Les rpondants allemands citent aussi moins de violations de la conformit (25 % contre 52 % dans les autres pays europens interrogs), d’attaques internes (32 % contre 50 %) et de compromissions d’e-mails professionnels (36 % contre 63 %).
En revanche, la rponse allemande aux incidents qui se produisent est plus lente. Les analyses post-incident montrent qu’en Allemagne, les acteurs malveillants ont accs aux systmes pendant prs de trois mois avant que l’organisation ne s’en aperoive, contre moins de deux mois pour les autres pays europens interrogs. Le MTTR est plus lent dans les mmes proportions.
Autres diffrences
Les rpondants allemands dclarent plus souvent qu’il leur est devenu plus difficile de trouver du personnel de scurit qualifi (33 % contre 18 % dans les autres pays europens). Seuls 30 % d’entre eux affirment que l’intelligence artificielle est capable de surpasser les analystes en matire de dtection des anomalies (contre 53 % des autres rpondants dans le reste de la rgion).
Ils ont galement fait moins de progrs en matire d’automatisation et d’orchestration des oprations de scurit : seuls 29 % d’entre eux font tat de progrs importants dans ce domaine, contre 40 % de leurs homologues dans la rgion. La pnurie de comptences, combine un investissement moindre dans l’IA et l’automatisation, pourrait mettre les organisations allemandes sur la voie o les quipes de scurit finiront par avoir plus de mal suivre.
L’Inde
Les donnes relatives l’Inde prsentent un tableau dconcertant. D’une part, les quipes indiennes sont trs bien dotes en ressources : 66 % des personnes interroges dclarent disposer de plus de 25 ETP dans leur SOc, contre 36 % en moyenne dans le reste du monde. D’autre part, elles se dmnent pour rester dans la course :
- 42 % des organisations indiennes se disent dpasses par le nombre d’attaques (contre 23 % dans le reste du monde) ;
- 44 % dclarent tre inonds de faux positifs (contre 24 %).
Une partie du problme semble rsider dans la complexit de leurs cosystmes d’outils : 48 % dclarent que leur systme de scurit est trop complexe, contre 28 % dans le reste du monde. Il en rsulte, sans surprise, que les personnes interroges en Inde dclarent plus souvent avoir t victimes d’une violation au cours des deux dernires annes (59 % contre 45 % des personnes interroges dans le reste de la rgion Asie-Pacifique) et que les incidents entranent des consquences ngatives pour l’entreprise un taux plus lev, y compris une rduction de l’valuation de l’entreprise (42 % contre 25 % dans le reste de la rgion).
La bonne nouvelle, c’est que les ciSOs relvent le dfi : 33 % dclarent informer chaque semaine les responsables oprationnels de la situation de l’entreprise en matire de scurit (contre 16% dans le reste de la rgion asie-Pacifique). Ces efforts portent leurs fruits, puisque 57 % des personnes interroges dclarent que cela a directement conduit une plus grande priorisation des investissements en matire de scurit (contre 42 % dans le reste de la rgion).
Un autre point positif est que les organisations en inde semblent faire converger les aspects de leurs oprations de scurit avec des fonctions complmentaires plus souvent que leurs homologues : 42 % dclarent faire converger les oprations de scurit avec tous les domaines couverts par l’enqute (observabilit, exprience numrique, itOps et dveloppement d’applications), contre 25 % dans le reste de la rgion : 74% visent amliorer la visibilit des risques (contre 53% dans le reste de la rgion) ; 64% visent identifier les problmes plus rapidement (contre 51%), et 70% font converger des aspects de la scurit et d’autres fonctions pour amliorer la collaboration interfonctionnelle (contre 53%).
Le nombre moyen de pannes auxquelles une organisation est confronte est de 22 par an et le cot de ce temps d’arrt reprsente environ 2,7 % du chiffre d’affaires annuel. 39 % des personnes interroges dclarent que les incidents de cyberscurit ont directement nui leur position concurrentielle, et 31 % dclarent que les incidents de cyberscurit ont rduit la valeur actionnariale.
Source : Splunk
Les rsultats de cette enqute son-elles pertinentes ?
Au sujet de l’tat de la scurit en France, les personnes interroges ont l’impression d’avoir le vent en poupe ; tort ou raison ?
Voir aussi :