Les investissements dans les technologies de défense, dans les formations en sécurité, ainsi que dans l’analyse et la réduction des risques augmente sans cesse. Et les RSSI ont engagé un effort de rationalisation des fournisseurs.

C’est ce qu’indique le rapport Anticipating the Unknowns Chief Information Security Officer (CISO) Benchmark Study que vient de publier Cisco à l’occasion de la RSA Conference, la plus grande conférence au monde sur la cybersécurité, qui se tient cette semaine à San Francisco à partir d’une enquête auprès de plus RSSI. Et ce, à l’heure où la multiplication du nombre d’utilisateurs, de données, d’appareils, d’objets connectés et d’applications inquiètent de plus en plus les RSSI (Voir également l’article Sécurité : hausse des coûts et morcellement de l’offre).

Cette année, les résultats montrent que les professionnels de la sécurité portent une attention particulière à la rationalisation des fournisseurs et à la collaboration entre les équipes réseaux et sécurité. Les décideurs veulent aussi sensibiliser leurs équipes à la sécurité à travers des exercices pour renforcer les dispositifs de sécurité et ainsi minimiser les risques. De nombreux RSSI se tournent aujourd’hui vers le cloud, convaincus que cela améliorera les efforts de protection, tout en réduisant la dépendance à des technologies moins éprouvées telles que l’intelligence artificielle (IA).

Pour relever ces défis et mieux protéger les organisations, environ quatre RSSI sur 10 investissent davantage dans les technologies de défense et de sécurité, proposent des formations en sécurité à leurs employés et se concentrent sur les solutions de réduction des risques.

Les décideurs en sécurité ont noté que l’impact financier des failles demeurait élevé. Pour 45% des personnes interrogées, l’impact financier d’une faille de sécurité pour leur organisation était supérieur à 500 000 dollars tandis que 50 % d’entre eux font passer le coût à moins d’un demi-million de dollars.

79 % des décideurs sondés sont persuadés qu’il était difficile d’orchestrer des alertes provenant de produits de fournisseurs multiples en augmentation par rapport à 2018. La diversité de solutions, non intégrées les unes aux autres, ne permet pas de répondre au volume d’alertes reçues. Des environnements de sécurité complexes, composés de solutions de 10 fournisseurs de sécurité ou plus sont susceptibles de nuire à la visibilité des professionnels de la sécurité dans leurs environnements. Et là, la situation est particulièrement complexe. Dans l’édition 2018, deux RSSI sur dix indiquaient avoir plus de 20 fournisseurs et 5 % plus de 50. Les RSSI ont engagé une rationalisation de leurs fournisseurs. Mais le chemin sera long. De leur côté, les fournisseurs ont engagé une approche visant à consolider les offres des fournisseurs partenaires dans une même plateforme.

Il y a plus de confiance dans la sécurité offerte dans le Cloud et dans la sécurisation du Cloud. Pour 93% des RSSI, migrer vers le cloud a permis à leurs équipes d’être plus efficaces qu’avec des solutions installées on-premise. En revanche, la protection d’une informatique sur le cloud semble plus difficile à défendre des cyber-attaques. On ne sera pas trop surpris si l’on en juge par les épisodes qui interviennent régulièrement auprès des opérateurs de services cloud. Ce retour est en ligne avec les conclusions de l’édition 2019 du rapport Deloitte selon lesquelles le cloud présente une surface d’attaque élargie, une perte de contrôle sur l’ensemble des systèmes, des contrôles existant non adaptés et un manque de transparence lié à l’augmentation du trafic qui circule.

Mais dans cette évolution vers le cloud, la cybersécurité passe également par le cloud. En plus de pouvoir être déployé de manière simple et rapide, cette technologie facilite l’adoption de nouveaux outils, et l‘échange plus fluide de grands volumes de données.

Pour le rapport Deloitte, le cloud propose des performances intéressantes en matière de sécurisation des données, pour les entreprises qui ne disposeraient pas des moyens humains ou technique suffisants. Aujourd’hui la capacité des fournisseurs de cloud à garantir une sécurisation optimale des infrastructures et des données stockées ou en transit s’est exponentiellement développée.

Les entreprises devront encadrer plus strictement leurs contrats avec leurs prestataires cloud, les moindres clauses devront être revues notamment pour une meilleure gestion des éventuels litiges. Les entreprises devront également s’assurer du suivi du cycle de vie de la donnée (accès, récupération et destruction de la donnée) mais également et surtout s’assurer du renforcement de la sécurisation des données stockées par le prestataire. Il se pose aussi la question de la souveraineté de l’entreprise vis-à-vis de la dépendance instaurée avec le prestataire.

Cette étude met également en avant les défis et les opportunités pour les RSSI. L’IA et le Machine Learning, utilisés à bon escient sont essentiels à la gestion des priorités et au management. Toutefois, la dépendance à l’égard de ces technologies a diminué : le recours à ces technologies a diminué un peu en 2019. C’est peut-être la fameuse phase de « désillusion » des équipes informatiques qui intervient après une période de « hype ».

Le facteur humain reste l’un des plus grands défis en matière de protection pour de nombreux RSSI, il est essentiel d’avoir un processus organisationnel qui commence par une formation de sensibilisation à la sécurité dès le premier jour de travail :

Seulement 51% se disent très efficaces dans la gestion de la sécurité des employés grâce à une intégration complète et à des processus de mutation et de départ. Et d’ailleurs les équipes les plus collaboratives perdent le moins d’argent et la suppression des silos a entraîné un véritable avantage financier

Dans l’éventail des attaques, les emails restent le principal vecteur des menaces. Le Phishing et les comportements à risque des utilisateurs (cliquer sur des liens malveillants dans les courriels ou les sites Web) constituent la principale préoccupation des RSSI. La perception de ce risque est demeurée stable au cours des trois dernières années entre 56 % et 57 % des répondants. Si l’on ajoute à cela le faible niveau des programmes de sensibilisation des employés à la sécurité, il s’agit là d’une lacune importante que l’industrie de la sécurité peut contribuer à combler.

Quelques recommandations pour les RSSI :

  • Baser la budgétisation de la sécurité sur des résultats de sécurité mesurés avec des stratégies pratiques associées à la cyberassurance et à l’évaluation des risques pour guider les décisions d’approvisionnement, de stratégie et de gestion.
  • Il existe des processus éprouvés que les organisations peuvent utiliser pour réduire leur exposition et l’ampleur des atteintes. Il faut s’exercer, utiliser des méthodes d’enquête rigoureuses et connaitre les méthodes de restauration les plus rapides.
  • La seule façon de comprendre les besoins de sécurité sous-jacents est de mettre en place une collaboration entre les silos : entre les groupes IT, Réseaux, Sécurité et Risques/Conformité.
  • Orchestrer la réponse aux incidents à l’aide d’outils disparates pour passer de la détection à la réponse plus rapidement et avec moins de coordination manuelle.
  • Combiner la détection des menaces avec la protection d’accès pour faire face aux menaces internes et s’aligner sur un programme comme Zero Trust.
  • Aborder le vecteur de menace numéro un grâce à des formations sur l’hameçonnage, à l’authentification multifactorielle, au filtrage avancé des spams et à la DMARC pour se prémunir des mails frauduleux.