L’étude basée sur une enquête commanditée auprès de 825 leaders mondiaux de la cybersécurité et de l’informatique menée en 2023 par le cabinet Forrester Consulting pour le compte de Tenable, met en lumière les défis en termes de personnel, de processus et de technologie qui se dressent entre les équipes modernes de cybersécurité et d’informatique et les pratiques efficaces de réduction des risques.

Près de six personnes sur dix interrogées (58 %) déclarent se concentrer presque entièrement sur la lutte contre les attaques réussies plutôt que sur leur prévention. L’étude révèle que cette situation est largement due à l’incapacité de réduire les risques potentiels avant que les attaques ne se produisent. Les cyber-professionnels expliquent que cette attitude réactive résulte essentiellement de la difficulté qu’ont leurs organisations à obtenir une image précise de leur surface d’attaque, y compris une visibilité sur les actifs inconnus, les ressources cloud, les faiblesses de code et les systèmes d’habilitation de l’utilisateur. La complexité de l’infrastructure - qui repose sur de multiples systèmes cloud, de nombreux outils de gestion des identités et des privilèges et divers actifs web - offre de nombreuses possibilités de configurations erronées et d’actifs négligés.

75 % des personnes interrogées* considèrent l’infrastructure cloud comme la plus grande source de risque d’exposition dans leur organisation. Dans l’ordre, les risques perçus les plus élevés proviennent de l’utilisation du cloud public (30 %), du multi cloud et/ou du cloud hybride (23 %), de l’infrastructure du cloud privé (12 %) et des outils de gestion des conteneurs cloud (9 %). Parmi les autres conclusions significatives de l’étude, on peut citer :
• 75 % des personnes interrogées déclarent tenir compte de l’identité des utilisateurs et des privilèges d’accès lorsqu’elles classent les vulnérabilités par ordre de priorité en vue d’y remédier, la moitié d’entre elles (50 %) affirment que leur organisation ne dispose pas d’un moyen efficace d’intégrer ces données dans ses pratiques de cybersécurité préventive et de gestion de l’exposition aux risques.
• Près de six personnes interrogées sur dix (57 %) déclarent qu’un manque d’hygiène des données les empêche de tirer des données de qualité des systèmes de gestion des privilèges et des accès des utilisateurs, ainsi que des systèmes de gestion des vulnérabilités.
• En moyenne, il faut 15 heures par mois pour créer des rapports sur l’état de l’infrastructure de sécurité de l’entreprise à l’intention des dirigeants. Dans une légère majorité d’organisations (53 %), des réunions sur les systèmes critiques ont lieu tous les mois, tandis que 18 % n’ont lieu qu’une fois par an et que 2 % déclarent ne jamais tenir de telles réunions.
"La sécurité préventive n’est plus une approche optionnelle de la gestion des risques, mais une condition préalable", a déclaré Robert Huber, Chief Security Officer et responsable de la recherche de Tenable. "Avec l’expansion de la surface d’attaque et des points d’exposition causée par des tendances telles que la migration vers le cloud et l’IA, la lutte en ordre dispersé est une approche vouée à l’échec. Nous parlons avec de plus en plus d’organisations de l’importance de comprendre et de réduire les risques de manière proactive. Cette étude souligne que beaucoup d’entre elles savent déjà intuitivement, mais luttent contre des vents contraires qui échappent souvent à leur contrôle."

Méthodologie : Pour réaliser cette étude pour Tenable, le cabinet Forrester Consulting a mené une enquête en ligne en mars 2023 auprès de 825 professionnels de l’informatique et de la cybersécurité dans de grandes entreprises dans dix pays dont les États-Unis, la France, le Royaume-Uni, l’Allemagne, l’Australie, le Mexique, l’Inde, le Brésil, le Japon et l’Arabie Saoudite.