L’Insee a récemment réalisé un point sur la situation économique en France révèlant que l’écart d’activité avec le niveau d’avant-crise se creuserait à nouveau en novembre, à -13 %. De nombreux secteurs étant très fortement touchés comme l’hébergement et la restauration enregistrant une perte d’activité de 60% ou encore le transport avec une perte de 30% durant cette période.
Cependant, si la crise sanitaire a été catastrophique pour les modèles économiques dépendant de notre présence physique, elle a offert des opportunités aux technologies et services axés sur les activités distancielles et virtuelles. En raison du recours massif au télétravail, les solutions de connexion à distance ont vu une explosion de la demande. En outre, les entreprises ont dû veiller à la résilience de leurs nouvelles pratiques de télétravail face aux cybermenaces.
C’est pourquoi la cybersécurité est l’un des rares secteurs, non seulement à résister à la pandémie, mais aussi à connaître une croissance.
Afin de mieux comprendre ce phénomène, cette croissance a été quantifié par une étude empirique. Une enquête internationale indépendante a été menée pour découvrir les expériences et attitudes de plus de 900 RSSI (dont 100 en France) et autres décideurs informatiques à travers le monde. L’enquête Technology Decision Making a révélé plusieurs résultats intéressants concernant l’impact du COVID sur le secteur de la sécurité et le processus de prise de décision des RSSI.
Le COVID stimule les investissements dans le cloud et la sécurisation des accès distants
L’étude a rapidement fait apparaître que, selon un nombre croissant de RSSI, la sécurité retient davantage l’attention de leur direction et fait l’objet d’investissements accrus en conséquence. Environ 56% des participants à l’enquête pensent disposer d’un budget de sécurité plus élevé pour le prochain exercice financier sous l’effet direct du COVID.
De nombreuses entreprises n’avaient guère expérimenté le monde du télétravail avant mars 2020 et étaient cruellement sous-équipées pour l’appliquer à la totalité de leur effectif, encore moins en toute sécurité. La ruée vers le télétravail déclenchée par le COVID a soulevé bon nombre de nouveaux défis en matière de sécurité et rendu beaucoup plus pressants des problèmes préexistants dans ce domaine.
Prenons l’exemple de la gestion des accès à privilèges (PAM). Une mauvaise sécurisation des comptes assortis de privilèges peut faciliter la tâche d’acteurs malveillants pour s’octroyer de puissantes capacités d’administrateur, représentant ainsi une menace très sérieuse. Or c’est néanmoins un problème que maintes entreprises n’ont cessé de négliger et pour lequel elles sont insuffisamment préparées.
Avec le nouveau régime du télétravail, le risque présenté par un défaut de sécurité des comptes à privilèges augmente nettement et devient impossible à ignorer. Le télétravail offre aux cybercrimlinels des opportunités bien plus nombreuses d’attaquer des postes de travail et de voler des identifiants. Des postes jusque-là protégés par un firewall d’entreprise sont désormais exposés à l’Internet public, alors que nombre d’entre eux comportent des ports ouverts, par exemple RDP (bureau à distance), dont les attaques tentent de profiter. La facilité d’accès à des comptes à privilèges permet également à des pirates de commettre très rapidement de graves dommages. L’investissement dans des modèles PAM, appuyé par des stratégies Zero Trust, est l’un des moyens les plus efficaces d’atténuer le risque de voir des acteurs malveillants exploiter des équipements et des comptes à privilèges compromis.
Tout en attendant davantage de soutien à l’avenir pour faire face à ces types de menaces, la plupart des RSSI se disent par ailleurs satisfaits du niveau actuel de leurs investissements. L’écrasante majorité des participants à l’enquête (94 % en France) déclarent également que leur direction leur assure aujourd’hui un financement suffisant pour les investissements dans la sécurité. Ce chiffre contraste fortement avec la tendance générale des années précédentes, où de nombreux RSSI devaient batailler pour que leurs demandes d’investissements dans ce domaine soient prises au sérieux. Les RSSI et la direction générale paraissent à présent en phase et parler le même langage.
La peur continue de dicter sa loi
Tandis que le COVID a entraîné un accroissement des investissements dans la sécurité, l’étude révèle clairement que la plupart des entreprises n’investissent encore largement dans ce secteur que par réaction défensive. Si plus de la moitié des participants à l’enquête indiquent que leur entreprise prévoit d’augmenter son budget de sécurité dans les 12 prochains mois, la majeure partie de ces investissements vient en réponse à un incident de sécurité ou de la crainte d’échouer à un audit.
Il apparaît que de nombreuses entreprises continuent de prendre les cybermenaces à la légère tant qu’elles n’y ont pas déjà été confrontées dans la réalité. En dépit des gros titres faisant régulièrement état de grandes entreprises victimes de graves incidents de sécurité, il est encore courant d’en rencontrer certaines qui pensent que cela n’arrive qu’aux autres ou que l’investissement nécessaire pour neutraliser la menace n’en vaut pas la peine. S’il est encourageant de voir un nombre croissant d’entreprises accroître leurs investissements après avoir été frappées par une attaque ou en avoir observé une chez leurs pairs, mieux vaudrait pour elles une approche plus proactive qui colmate les failles de sécurité avant qu’elles ne puissent être exploitées.
En dehors de la réaction à des incidents antérieurs, il est vraisemblable que la majorité des investissements sont aussi motivés par la crainte d’un échec à un audit de conformité. Environ un quart des participants à notre enquête jugent que la menace d’une amende est le plus sûr moyen de persuader leur direction d’investir dans la cybersécurité.
Réaction ou innovation
Malgré une amélioration des attitudes face aux cyberrisques, cette approche réactive motivée par la peur, pour investir dans la sécurité signifie que de nombreux RSSI éprouvent encore de grandes difficultés à obtenir le soutien de leur direction pour certains aspects de la sécurité proactive. Plus d’un tiers des participants à l’enquête déclarent avoir proposé des investissements qui ont été refusés par la direction car le risque de la menace a été perçu comme faible ou parce que la technologie ne présentait pas un retour sur investissement démontrable. De nombreux RSSI pensent que leur direction n’a pas bien saisi l’ampleur des menaces au moment de prendre ses décisions sur les investissements en matière de sécurité.
Cette attitude rend difficile, pour les RSSI, la mise en œuvre efficace de stratégies à long terme, ce qui les contraint à réfléchir à un niveau plus tactique et à ne s’attaquer qu’aux menaces immédiatement apparentes.
Cela a aussi pour effet de freiner l’innovation dans la cybersécurité, les RSSI n’étant pas en mesure de faire valider l’achat de nouvelles technologies plus expérimentales. La majorité des participants à l’enquête se disent désireux de tester des méthodes et outils innovants mais seuls 22 % d’entre eux en France pensent que leur entreprise est véritablement au fait du plus récent paysage des menaces et investit en conséquence.
La perspective d’un avenir stratégique
Tandis que les dangers manifestes présentés par le COVID-19 ont contribué à une montée en flèche des investissements dans la cybersécurité, d’autres défis se profilent pour les RSSI. La sécurité est généralement vue comme un centre de coût plutôt qu’une fonction génératrice de valeur pour l’entreprise mais l’étude indique que cette perception commence à évoluer. La plupart des entreprises demeurent réticentes à augmenter leur budget de sécurité à moins d’avoir déjà subi une attaque ou de s’exposer à des menaces très claires et tangibles telles que des amendes.
Tant que cette attitude ne changera pas et que la direction des entreprises n’adoptera pas une approche plus proactive de la sécurité, celles-ci ne rattraperont pas leur retard en matière de capacités sécuritaires et resteront à la traîne des cybercriminels.
Les RSSI doivent trouver un équilibre délicat entre innovation et conformité afin d’obtenir de leur direction les investissements nécessaires, en s’efforçant d’aider celle-ci à s’orienter vers une vision plus stratégique de la sécurité au-delà de la crise du COVID. La sécurité doit devenir une expérience positive, qui renforce la résilience de l’entreprise et favorise son succès.