« Aujourd’hui, il faut parfois des mois à une entreprise pour corriger une vulnérabilité connue. Dès lors, elle s’expose à des menaces pendant six mois, voire plus, alors qu’elle travaille activement à la résolution des menaces », explique Jason Andrew, Directeur Général et Vice-Président des ventes de BMC EMEA. « Découvrir, hiérarchiser et résoudre les vulnérabilités rapidement requiert une meilleure coordination des équipes sécurité et informatique. La réduction de l’écart du SecOps est cruciale pour protéger l’image d’une société et préserver la confiance de ses clients en sa capacité à protéger ses informations ».

Des failles identifiées qui n’empêchent pas la perte de données

L’enquête révèle que 44 % des incidents de sécurité surviennent alors que les vulnérabilités et leurs solutions ont déjà été identifiées. Le chiffre montant à 50% sur la seule zone Europe. Il s’écoule trop de temps entre la mise à disposition d’un patch et la correction du problème. Pour 33% des cadres interrogés, l’explication réside dans le fait qu’il est difficile de déterminer les systèmes à traiter en priorité, les équipes sécurité et informatique n’ayant pas le même ordre des priorités. Ce manque de coordination a pour effet des coûts plus élevés, des pannes et un impact sur la performance.

Si l’effort conjoint des deux équipes détermine le niveau de sécurité de l’entreprise, les objectifs individuels de chacun diffèrent bien souvent. Le plus grand facteur de risque pour une entreprise réside dans l’obsolescence et la mauvaise synchronisation de ses procédures internes, qui empêchent la mise en œuvre rapide de défenses contre les menaces connues et identifiées.

Plus d’une entreprise européenne sur deux n’a pas de stratégie d’amélioration SecOps

Interrogés sur les défis relevés par les opérations et la sécurité, 60 % des cadres sondés affirment que les deux équipes ne connaissent que peu ou vaguement les exigences de chacune. Et 50 % ne savent pas comment améliorer la coordination de ces deux groupes.

Les DSI doivent trouver un moyen de réduire le clivage. Dans ce domaine, les entreprises européennes accusent un retard sur leurs homologues nord-américaines, avec seulement 37 % (contre 60 % en Amérique du Nord) qui prévoient d’acheter ou de mettre en place des solutions SecOps au cours de l’année.

Les cadres dirigeants de la zone EMEA devraient par conséquent envisager plusieurs actions comme évoqué dans le rapport :
• Créer des groupes de travail transversaux partageant des problématiques liées à la sécurité, à la conformité, aux opérations et programmer des réunions régulières afin de renforcer l’esprit d’équipe et la confiance.
• Développer des flux de travail collaboratifs permettant de fluidifier les interactions entre les équipes conformité, sécurité et informatique.
• Remplacer les procédures manuelles sources d’erreurs par des plates-formes de conformité et de sécurité intelligentes qui automatisent les tests et la diffusion des patchs de sécurité et fournissent des outils de gestion de l’information centralisés.

« Face à des menaces toujours plus sophistiquées, il est temps de repenser l’approche traditionnelle, cloisonnée et fragmentée de la sécurité », commente Roy Illsey, analyste principal des solutions infrastructure chez Ovum. « C’est aux équipes de sécurité et des opérations informatiques que revient la responsabilité d’identifier les problèmes et d’y remédier rapidement. C’est à elles d’intégrer les activités de la sécurité et des opérations informatiques afin de mieux protéger leurs entreprises »."

Méthodologie

Les données du rapport proviennent d’une enquête menée auprès de 304 cadres d’entreprises européennes et nord-américaines par Forbes Insights à l’automne 2015. La moitié était située en Europe et l’autre en Amérique du Nord. Tous les participants étaient employés dans des entreprises au chiffre d’affaires annuel de 100 millions de dollars minimum ; 27 % dans des entreprises réalisant entre 1 milliard et 5 milliards de dollars de chiffre d’affaires annuel et 23 % dans des entreprises réalisant plus de 5 milliards de chiffre d’affaires annuel.