Une nouvelle étude met en lumière le fossé qui persiste entre la volonté de mettre en œuvre des stratégies Zero Trust et l’efficacité réelle des mesures prises. Un fossé lié à la complexité des systèmes, aux manques de moyens donnés à la cybersécurité dans les entreprises et à la difficulté à suivre le rythme d’évolution des menaces.
Réalisée auprès de 2100 décideurs, DSI, RSSI, dans le domaine de la cybersécurité, la nouvelle étude Delinea sur les attitudes envers la sécurité des identités et la protection des comptes à privilèges montre le chemin qu’il reste à parcourir aux entreprises pour aligner leur volonté à la réalité de terrain et progresser dans la concrétisation des approches Zero Trust.
Ainsi l’étude met en évidence les différences entre l’efficacité perçue et l’efficacité réelle des stratégies de sécurité : 40 % des participants à l’enquête considèrent avoir mis en place la bonne stratégie, pourtant 84 % des entreprises interrogées indiquent avoir connu un incident lié à la sécurité des identités ou une attaque par vol d’identifiants au cours des 18 derniers mois.
Pas étonnant dès lors que 60 % des participants pensent que leur stratégie globale en matière de sécurité ne suit pas le rythme d’évolution du paysage des menaces : parmi eux, 20% estiment qu’ils sont à la traîne, 13% ont l’impression de stagner et 27% s’efforcent simplement de ne pas se laisser distancer.
Ces chiffres sont internationaux et présentent des disparités selon les pays. Ainsi, les décideurs français sont étrangement plus confiants que leurs homologues internationaux : alors que 80% des entreprises françaises interrogées ont déclaré avoir été victimes de telles attaques, seulement 14% des responsables interrogés savent leur entreprise à la traîne, 23% des responsables luttent pour ne pas se laisser distancer et 51% déclarent adapter continuellement outils et stratégies.
« Même si l’importance de la sécurité des identités est reconnue par les dirigeants de l’entreprise, la plupart des équipes de sécurité ne reçoivent pas le soutien ni le budget nécessaire à la mise en place de mesures et de solutions essentielles dans ce domaine pour atténuer les risques majeurs », estime Joseph Carson, Chief Security Scientist et RSSI consultatif chez Delinea. « Cela signifie que la majorité des entreprises vont continuer d’échouer à protéger les privilèges, se rendant ainsi vulnérables face à des cybercriminels qui cherchent à découvrir des comptes à privilèges afin d’en tirer profit. »
Ainsi, 75 % des professionnels informatiques et de la sécurité craignent de ne pas parvenir à protéger les identités à privilèges faute de disposer du soutien nécessaire. La raison tient dans une large mesure à un budget insuffisant et à un déphasage des dirigeants : en France, 70 % des participants à l’enquête estiment que la direction de leur entreprise ne saisit pas encore totalement l’importance de la sécurité des identités et son rôle dans l’optimisation des opérations.