Etude CyberArk : 61 % des entreprises françaises ne modifient pas leur stratégie de sécurité à la suite d’une cyberattaque. Les résultats de cette étude montrent que les entreprises ne sécurisent ni leurs comptes à privilèges, ni les identifiants, que cela soit dans le cloud, sur les terminaux ou dans leur environnement informatique.

Selon le rapport 2018 de CyberArk consacré aux menaces avancées mondiales, « Global Advanced Threat Landscape Report 2018 », près de deux tiers (61 %) des entreprises françaises modifient rarement leur stratégie de sécurité de manière significative, même après avoir été victimes d’une cyberattaque.

Ne pas mettre en place un plan de cybersécurité et ignorer l’expérience des incidents passés est un réel risque à prendre quant à la sécurité des données, des infrastructures et des actifs sensibles de ces entreprises.

La sécurité commence par la protection des comptes à privilèges
De nombreuses entreprises sont convaincues que la sécurisation d’un environnement informatique commence par la protection des comptes à privilèges.

Ainsi, 62 % d’entre elles affirment que l’infrastructure IT et les informations critiques ne sont pas entièrement protégées si les comptes à privilèges, les identifiants et les secrets ne sont pas sécurisés.

Les personnes françaises interrogées citent notamment les plus grandes menaces auxquelles elles sont actuellement confrontées en matière de cybersécurité, à savoir :

• Les attaques ciblées par hameçonnage (53 %)
• Les comptes à privilèges non sécurisés (49 %)
• Les menaces internes (44 %)
• Les données non sécurisées stockées sur le Cloud (31 %)
• Les ransomwares et logiciels malveillants (28 %)

Ces répondants ont également indiqué que la proportion d’utilisateurs qui disposent de privilèges administratifs locaux sur leurs terminaux est passée de 65 % en 2016 à 90 % en 2018. Cette progression de 25 % indique peut-être que les exigences des employés en matière de flexibilité l’emportent sur les bonnes pratiques de sécurité.

La passivité, un danger pour les données

Les conclusions de cette étude révèlent que de nombreuses entreprises n’ont pas de stratégie cybersécurité et n’ont pas la capacité à repousser ou maîtriser les cybermenaces, ainsi que les risques induits, ce que corroborent d’autres résultats relatifs à la France :

• 57 % des personnes interrogées affirment que leur entreprise est incapable d’empêcher les tentatives d’intrusion dans son réseau interne ;

• De même, 57 % admettent que les données confidentielles, ou les informations personnelles identifiables (IIP), de leurs clients sont potentiellement menacées parce que leurs données ne sont pas protégées au-delà du minimum légal ;

• 53 % d’entre elles indiquent aussi que les identifiants administrateurs sont enregistrés dans des documents Word ou Excel sur les ordinateurs de l’entreprise.

Cette inertie ajoutée à une approche passive de la sécurité des identifiants et des données sur le cloud créent un cyber-risque. En raison de l’automatisation des processus induite par les technologies cloud et DevOps, des comptes à privilèges, des identifiants et des secrets voient le jour à un rythme effréné.

Et lorsqu’elles sont compromises, ces informations constituent pour les cybercriminels un tremplin idéal pour accéder latéralement à des données sensibles par l’intermédiaire des réseaux, des données et des applications, ou pour utiliser l’infrastructure Cloud en vue de procéder à des activités illicites de minage de cryptomonnaies.

Si elles sont de plus en plus conscientes de ce risque de sécurité, les entreprises continuent toutefois d’adopter une approche laxiste en matière de sécurité sur le cloud.

Ainsi, l’étude réalisée par CyberArk révèle que :

• Plus de quatre entreprises françaises sur cinq (81 %) confient la sécurité à leur prestataire de services cloud et s’appuient sur des capacités de sécurité intégrées ;
• Plus de la moitié (56 %) des entreprises françaises n’a pas défini de stratégie de sécurité sur le cloud pour les comptes à privilèges ;
• Tandis que 53 % d’entre elles estiment que leur prestataire de services cloud ne leur assure pas une protection appropriée.

Transformer la culture de la sécurité

Face à cette situation, l’inertie en matière de cybersécurité doit devenir un élément central de la stratégie et du comportement des entreprises, et non plus être dictée par des besoins commerciaux contradictoires.

Selon l’étude :

• 77 % des répondants français estiment que la sécurité devrait faire l’objet de discussions régulières au niveau des membres de direction ;
• Seulement 36 % d’entre eux déclarent féliciter ou récompenser les employés qui contribuent à empêcher les failles de sécurité IT, contre 74 % aux États-Unis ;
• A peine 10 % des entreprises effectuent continuellement des exercices de simulation d’attaques menées par une « Red Team », afin d’identifier les vulnérabilités critiques et de définir des réponses efficaces.

« Tandis que les pirates informatiques continuent de perfectionner leurs tactiques, les entreprises sont confrontées à leur propre passivité en matière de cybersécurité, ce qui fait pencher la balance en leur défaveur, confie Jean-François Pruvot, Regional Director West & South Europe chez CyberArk.

Il est plus urgent que jamais de renforcer la résilience de la cybersécurité face aux attaques que subissent les entreprises. Il importe avant tout de comprendre comment la surface d’attaques des comptes à privilèges s’élargit, et comment elle met les entreprises en danger.

Pour lutter avec succès contre l’inertie, les entreprises doivent faire preuve d’un solide leadership, assumer certaines responsabilités, ainsi que déployer des stratégies de sécurité clairement définies et communiquées correctement, tout en essayant de se mettre à la place des hackers. »