Pour Tenable qui publie cette étude, ce chiffre est principalement dû au fait que les responsables IT doivent passer plus de temps à remédier les attaques et boucher les trous qu'à adopter des vrais stratégies de sécurité préventives.
La prévention du risque cyber est toujours plus facile à dire qu'à faire, surtout quand on a pas le temps. C'est en tout cas ce que semble pointer sur le marché français une étude tout juste publiée par Tenable. Les résultats collectés auprès d'une centaine de responsables informatiques hexagonaux révèlent que 70 % d'entre eux pensent que leur entreprise parviendrait à mieux se défendre contre les cyber-attaques si elle allouait plus de ressources à la cyber-sécurité préventive. Et pourtant, 62 % déclarent que leur équipe de cyber-sécurité est trop occupée à résoudre les incidents critiques pour adopter une approche préventive visant à réduire l'exposition de l'entreprise. Résultats des comptes, les sondés reconnaissent qu'en moyenne, 41% des attaques qui les visaient ont percé leurs défenses.
Pour les responsables cyber, cette passivité est largement due aux difficultés que rencontre leur entreprise à obtenir une vision précise de leur surface d'attaque. Plus de la moitié des sondés (55 %) attribuent à une hygiène insuffisante des données leur incapacité à extraire des informations de qualité depuis les systèmes de gestion des accès et des privilèges utilisateur ainsi que des systèmes de gestion des vulnérabilités.
Bien que la plupart des personnes interrogées (77 %) déclarent prioriser la remédiation/correction des vulnérabilités en fonction des privilèges d'accès et de l'identité utilisateur, 45 % affirment que leur entreprise ne dispose pas d'un moyen efficace d'intégrer ces données dans leurs pratiques de gestion de l'exposition. Nous avons donc des responsables cybers qui font face à des attaques qui s'intensifient aussi vite que la surface à défendre grandit et se complexifie. Ils passent donc plus de temps à boucher les trous et à éteindre les incendies qu'à anticiper les prochains départs de feu.
« Quelque chose doit changer si l'on veut endiguer ces vagues d'attaques. Il faut impliquer les responsables de la sécurité dans la prise de décisions stratégiques. C'est seulement à cette condition qu'une entreprise peut espérer réduire le risque et prendre les mesures nécessaires pour relever les défis qui se présenteront, » explique ainsi Bernard Montel, directeur technique EMEA de Tenable, en marge de cette étude.
Méthodologie
Pour réaliser cette étude pour Tenable, le cabinet Forrester Consulting a mené une enquête en ligne en mars 2023 auprès de 825 professionnels de l'informatique et de la cybersécurité, dont 100 implantés en France. Cette enquête a également été menée au sein de grandes entreprises aux États-Unis, au Royaume-Uni, en Allemagne, en Australie, au Mexique, en Inde, au Brésil, au Japon et en Arabie Saoudite.