En Septembre dernier, Accenture publiait l’étude Gaining Ground On the Cyber Attacker 2018 State of Cyber Resilience et mettait en avant le doublement du nombre de cyberattaques subies par les entreprises (en moyenne 232 en 2018 contre 106 en 2017 au plan international), mais aussi l’amélioration de la capacité des entreprises à identifier et contrer ces attaques.
Le nombre d’attaques a plus que doublé entre 2017 et 2018…
Cette étude mérite l’attention, tant elle se différencie de nombreuses études très (trop) alarmistes. Si tout n’est pas rose, notamment en raison de l’ingéniosité et de la complexité croissante des attaques, les entreprises continuent à améliorer leur capacité de défense, ont su renforcer leur cyber-résilience et sont restées performantes malgré les menaces. Les entreprises sont de mieux en mieux capables de se défendre, en détectant notamment les attaques beaucoup plus tôt.
… mais là où un tiers des attaques étaient efficaces en 2017, la proportion d’attaques efficaces est descendue à 1 sur 8 (12,5%) en 2018.
Une étude qui souffle le chaud et le froid
Les équipes de sécurité gagnent en efficacité, mais il reste encore beaucoup à faire. Les entreprises préviennent désormais 87% de toutes les attaques ciblées, mais subissent toujours 2 ou 3 violations de sécurité par mois en moyenne.
Les entreprises pourraient être cyber-résilientes dans 2 à 3 ans, mais la pression et la complexité des menaces augmentent de jour en jour. Si 90% des répondants prévoient une augmentation des investissements en matière de cybersécurité au cours des 3 prochaines années, seuls 31% pensent qu’elle sera suffisante.
Les nouvelles technologies sont essentielles, mais les investissements ont pris du retard. Si 83% des répondants estiment que les nouvelles technologies sont indispensables, seulement 2 sur 5 investissent dans les domaines de l’IA, du machine learning et de l’automatisation.
La confiance reste forte, mais une approche plus proactive de la cybersécurité est requise. Si plus de 80% des répondants ont confiance en leurs capacités de surveillance des violations, 71% estiment en revanche que les cyberattaques restent malgré tout un domaine assez opaque, et ne savent ni quand ni comment celles-ci pourraient affecter leur organisation.
Les Directions et Conseils d’Administration sont plus impliqués sur les enjeux de la cybersécurité. 27% des budgets de cybersécurité sont autorisés par le Conseil d’Administration, et 32% par le PDG. Le rôle et les responsabilités du RSSI (Responsable de la sécurité des systèmes d’information) doivent évoluer vers plus de transversalité dans l’entreprise.
5 pistes vers la cyber-résilience
Accenture met en avant cinq pistes pour optimiser les défenses des entreprises et avancer vers l’objectif ultime de la cyber-résilience dans un monde qui continue à évoluer vers de nouveaux territoires de menaces (intelligence artificielle, omniprésence du cloud, réseaux sociaux, smartphones, internet des objets) pour des menaces de plus en plus complexes et difficiles à contrer et un besoin qui devient stratégique : la protection des données.
- Construire des fondations solides en identifiant les actifs de valeur, afin de mieux les protéger y compris des risques internes. Il est essentiel de s’assurer que des contrôles sont mis en place tout au long de la chaîne de valeur de l’entreprise.
- Tester sa sécurité informatique en entrainant les équipes de cybersécurité aux meilleures techniques des hackeurs. Les jeux de rôles mettant en scène une équipe d’attaque et de défense avec des entraîneurs peuvent permettre de faire émerger les points d’amélioration.
- Oser les nouvelles technologies. Pour une entreprise il est recommandé d’investir dans des technologies capables d’automatiser la cyberdéfense et notamment de recourir à la nouvelle génération de gestion des identités qui s’appuie sur l’authentification multi-facteur et l’analyse du comportement utilisateur.
- Etre force de proposition et identifier les menaces en amont en développant une équipe stratégique (« threat intelligence ») chargée de faire évoluer un centre opérationnel de sécurité (SOC) intelligent s’appuyant sur une collecte et une analyse massive de données (« data-driven approach »).
- Faire évoluer le rôle du responsable de la sécurité des systèmes d’information. Le CISO est plus proche des métiers, il trouve le bon équilibre entre sécurité et prise de risque et il communique de plus en plus avec la direction générale, qui détient maintenant 59% des budgets sécurité contre 33% il y a un an.
Conclusion
L’étude d’Accenture met en avant une vraie prise de conscience des entreprises sur les cyber-menaces, et la mise en place d’investissements de fond pour mieux se protéger. La course est maintenant lancée pour tendre vers la cyber-résilience, entre attaquants de mieux en mieux organisés et systèmes de défense de plus en plus pointus. Rendez-vous en fin d’année pour faire un bilan des forces en présence.
