Salt : Une enquête internationale auprès des RSSI révèle que l’économie du « Digital First » crée des risques inattendus pour 89 % d’entre eux
juin 2023 par Salt Security
Salt Security publie les principaux résultats du nouveau rapport « State of the CISO » (Bilan des RSSI). Réalisée par Global Surveyz pour le compte de Salt Security, cette enquête internationale a permis d’interroger 300 RSSI/responsables de la sécurité dans le monde entier au sujet d’un ensemble de problématiques, allant de la transformation numérique à la digitalisation de l’entreprise. Les résultats mettent en évidence les principaux défis auxquels sont confrontés les RSSI, à savoir les failles de sécurité majeures qu’ils sont amenés à gérer, les principales difficultés rencontrées, et l’impact des grands enjeux mondiaux sur leur capacité à mettre en place des stratégies de cybersécurité efficaces.
L’économie « digital first » a transformé le rôle du RSSI moderne, en multipliant les menaces et en modifiant les priorités de sécurité. L’enquête fait ressortir plusieurs points majeurs :
● 89 % des RSSI indiquent que le déploiement rapide des services numériques a entraîné des risques inattendus pour la protection des données métier critiques.
● Les initiatives numériques ont fait surgir de nouvelles inquiétudes de nature individuelle. Le risque le plus cité par les RSSI (48 %) est celui de la responsabilité personnelle et des litiges résultant des violations de sécurité.
● Pour 94 % des RSSI dans le monde, l’adoption très rapide de l’IA est le facteur macro-dynamique qui a le plus d’impact sur leur rôle.
● 95 % des RSSI prévoient de faire passer en priorité la sécurité des API au cours des deux années à venir, soit une augmentation de 12 % en comparaison avec cette priorité il y a deux ans.
Jouant le rôle de fil rouge reliant toutes les initiatives actuelles de transformation numérique, les API se distinguent comme un domaine d’intérêt clé pour les RSSI. 77 % des RSSI leur accordent désormais une plus grande priorité qu’il y a deux ans. En outre, l’adoption des API correspond à la deuxième faille de sécurité la plus importante, se classant juste derrière la chaîne d’approvisionnement et les fournisseurs tiers. Les initiatives numériques des entreprises sont à l’origine de ces nouveaux risques.
« Les résultats de cette enquête internationale montrent clairement que la pression sur les RSSI est maintenant plus forte, du fait de l’accélération de l’économie numérique au cours des deux dernières années », a relevé Roey Eliyahu, PDG et co-fondateur de Salt Security. « Les API sont les briques essentielles de chaque service numérique, une part importante du risque s’est déplacée vers elles. Ces résultats confirment que les entreprises doivent accorder une priorité accrue à leur stratégie de sécurité des API afin de faire face aux risques actuels et non passés »
Les défis majeurs pour les RSSI dans l’économie « digital first »
Le rapport de 2023 démontre que l’économie « digital first » confronte les RSSI à de nouveaux défis en termes de sécurité. Fait intéressant, la plupart de ces enjeux suscitent tous le même degré d’inquiétude chez les RSSI, qui se retrouvent contraints à relever plusieurs défis en même temps.
Les défis majeurs cités par les RSSI sont les suivants :
● Pénurie de professionnels de la cybersécurité qualifiés pour gérer les nouveaux besoins (40 %)
● Taux d’adoption des logiciels insuffisant (36 %)
● Complexité des environnements technologiques distribués (35 %)
● Durcissement des exigences sur le plan de la conformité et des réglementations (35 %)
● Difficultés à justifier le coût des investissements de sécurité (34 %)
● Adhésion des parties prenantes aux initiatives de sécurité (31 %)
Autres aspects marquants : alors que la plupart des RSSI (44 %) indiquent que les budgets de sécurité ont augmenté d’environ 25 % en 2 ans, environ 30 % d’entre eux désignent comme un obstacle majeur « un budget insuffisant pour relever les nouveaux défis de la sécurité » découlant de la transformation numérique. De plus, 34 % des RSSI citent leur grande difficulté à justifier le coût des investissements de sécurité. Un examen plus minutieux des réponses montre que pour 82 % des RSSI, le budget de sécurité est plus important que deux ans auparavant, tandis que 87 % précisent que le chiffre d’affaires de leur entreprise a augmenté. Cette disparité signifie que le pouvoir d’achat des RSSI, exprimé en pourcentage du chiffre d’affaires, a diminué au cours des deux dernières années.
Deux failles majeures de sécurité : la chaîne d’approvisionnement et les API
Les deux tiers des RSSI indiquent devoir sécuriser un plus grand nombre de services numériques qu’en 2021. En outre, 89 % des RSSI affirment que le lancement rapide de services numériques est une source de risques inattendus pour la protection des données vitales de leur entreprise. L’adoption des API, ainsi que la chaîne d’approvisionnement et les fournisseurs tiers constituent les principales failles de sécurité des initiatives numériques des entreprises.
Les RSSI évaluent comme suit les failles de sécurité découlant des initiatives numériques :
● Chaîne d’approvisionnement/fournisseurs tiers (38 %)
● Adoption des API (37 %)
● Adoption du cloud (35 %)
● Gestion incomplète des vulnérabilités (34 %)
● Logiciels et matériels périmés (33 %)
● Informatique fantôme (Shadow IT) (32 %)
Aujourd’hui, les API sont imbriquées dans toutes les applications numériques modernes, notamment dans les services tiers intégrés et les applications cloud. Les chiffres des différentes failles de sécurité ci-dessus soulignent par conséquent l’importance particulière de la sécurité des API pour remédier à ces vulnérabilités. Par ailleurs, la plupart des entreprises ne possèdent pas un inventaire complet de leurs API. Ces dernières viennent ainsi grossir les rangs de l’informatique fantôme, la « shadow IT ».
Impact des tendances globales sur le rôle des RSSI : l’adoption rapide de l’IA en tête
La grande majorité des RSSI reconnaît subir l’impact de diverses tendances globales. Parmi les facteurs cités, c’est la rapidité de l’adoption de l’IA qui semble être la plus importante, suivi de l’incertitude macro-économique, de la situation géopolitique et des licenciements. Le détail des réponses est le suivant :
● Rapidité de l’adoption de l’IA (94 %)
● Incertitude macro-économique (92 %)
● Situation géopolitique (91 %)
● Licenciements (89 %)
La menace des litiges et l’accroissement de la responsabilité apparaissent comme étant les principaux sujets d’inquiétude des RSSI
L’économie du « digital first » a également des retombées sur les RSSI sur le plan personnel. Les enjeux personnels cités sont les suivants :
● Craintes d’être affecté personnellement par les litiges découlant des violations de données (48 %)
● Risque/responsabilité personnels plus importants (45 %)
● Multiplication des responsabilités et temps disponible insuffisant pour mener à bien les tâches (43 %)
● Augmentation du stress professionnel (38 %)
● Augmentation des effectifs à gérer (37 %)
Presque 50 % des RSSI mentionnent leurs inquiétudes suite à des litiges potentiels. Plusieurs procès fortement médiatisés à l’encontre d’homologues font craindre aux RSSI de voir leur responsabilité personnelle engagée en cas de violation de données, avec le risque de la perte de leur emploi.
Les RSSI jugent leurs équipes de direction compétentes en matière de cyber-risques et d’atténuation des menaces
Sur une note positive, 96 % des RSSI dans le monde entier estiment que leurs équipes de direction sont compétentes, voire extrêmement compétentes en matière de problèmes de cybersécurité. En outre, l’enquête révèle que 26 % des RSSI présentent un état des lieux des cyber-risques et de l’exposition de l’entreprise aux menaces une fois par trimestre ou plus. 57 % rendent compte de la situation au moins une fois par semestre.
Résultats de l’enquête : l’avis des RSSI et des analystes sectoriels
« L’accélération de la transformation numérique des entreprises s’accompagne tout naturellement d’une utilisation plus fréquente des API et de l’IA dans de nombreux secteurs d’activité. Il est donc encourageant de constater que leurs efforts en matière de sécurité de l’API sont enfin renforcés. Les entreprises ont parfois tendance à faire des économies de bout de chandelle en négligeant les investissements dans la sécurité, surtout au vu du coût phénoménal des violations de données personnelles. La sécurité des API doit prendre une importance croissante, de manière considérable, et à court terme. »
– Anton Chuvakin, conseiller en sécurité chez Office of the CISO, Google Cloud
« Ces résultats mettent en évidence la nouvelle réalité de « l’ère de l’IA » des cybermenaces. Les RSSI savent que les attaques utilisant l’IA sont en train d’évoluer, qu’elles sont de plus en plus sophistiquées et qu’elles se développent à une vitesse inouïe. Aujourd’hui, les équipes de sécurité sont déjà débordées pour défendre une surface d’attaque qui est très large. Les conséquences de la montée en puissance des menaces issues de l’IA, et la nécessité de mettre en place une riposte, pèsent de toute évidence lourdement sur les RSSI. »
– Ed Amoroso, fondateur et PDG de TAG InfoSphere
« Au vu de l’importance grandissante des API au cours des dernières années dans les entreprises modernes, il est étonnant que la sécurité des API ne se soit généralisée que récemment. 95 % des RSSI la considèrent comme un enjeu prioritaire pour les deux années à venir. La lenteur de l’évolution des cadres et des réglementations de sécurité est en partie à blâmer, mais je vois les perspectives s’améliorer. Le FFIEC (Federal Financial Institutions Examination Council), qui tarde en général des années avant d’émettre un nouveau mandat, n’a attendu qu’un an pour désigner explicitement les API comme une surface d’attaque distincte. Il a ordonné aux institutions financières d’inventorier, de résoudre et de sécuriser les connexions API. »
– Jeff Farinich, directeur de la technologie et RSSI de New American Funding
« L’impact de l’IA obnubile tous les RSSI avec lesquels je suis en contact et je ne suis donc pas surpris de découvrir que c’est la tendance globale qui a le plus de répercussions pour eux. Nous savons tous que les cyber-attaquants utilisent déjà l’IA. En tant que RSSI, nous devons élaborer notre stratégie pour intégrer nous aussi l’IA à notre arsenal de défense pour contrer ces menaces. »
George Gerchow, responsable de la sécurité et directeur informatique de Sumo Logic
"Compte tenu de l’importance des API pour les entreprises modernes, je ne suis pas surpris que 95 % des RSSI accordent la priorité à la sécurité des API au cours des deux prochaines années. Je suis curieux de connaître les 5 % d’organisations qui n’ont pas fait de la sécurité des API une priorité. Les API étant les connecteurs de l’économie numérique, la sécurité dépend aujourd’hui de la sécurité des API.
– Ryan Melle, CISO, SVP chez Berkshire Bank
« Les résultats de cette enquête viennent vraiment confirmer ce que je constate depuis environ deux ans. Les besoins en sécurité ont connu une croissance exponentielle avec la digitalisation. La cadence s’accélère plus que jamais avec tous les projets numériques. En fournissant des données objectives, cette enquête permet de prendre conscience des problèmes et de mettre au point des méthodes pour collaborer et créer une culture de la cyber-sécurité plus robuste et plus sûre. »
– Julie Chickillo, vice-présidente, directrice de la cyber-sécurité de Guild Education
« L’économie « digital first » a bouleversé de nombreuses approches de sécurité traditionnelles, mais a aussi eu des répercussions à un niveau très personnel pour beaucoup d’entre nous, les RSSI. Le fait que mes collègues indiquent que les « craintes d’être affectés personnellement par les litiges découlant des violations de données » est l’aspect qui les préoccupe le plus devrait servir de signal d’alarme pour tous les acteurs du secteur. En effet, des professionnels qualifiés risquent de renoncer à ce rôle si les organisations ne possèdent pas les outils ou les processus appropriés ou s’ils considèrent que le risque personnel est trop élevé. »
– Mike Towers, directeur général de la confiance numérique (CTro) de Takeda Pharmaceuticals International.
Méthodologie
Réalisée par Global Surveyz en avril 2023, le rapport « State of the CISO » a interrogé 300 RSSI/responsables de la sécurité dans le monde entier, notamment en Amérique du nord, dans la zone EMEA, au Royaume-Uni et en Amérique latine. Les répondants occupaient des postes de RSSI ou de responsables de la sécurité dans de nombreux secteurs d’activité : services financiers, santé, assurance, industrie pharmaceutique, distribution et e-commerce. Global Surveyz, dont le siège social se trouve à Tel Aviv, en Israël, est une société internationale d’études qui collecte, analyse et interprète les données B2B et B2C de différents secteurs d’activité et marchés. Vous pouvez télécharger ici https://salt.security/state-of-the-ciso-2023 le rapport complet.