Secu
Cybersécurité 2022 : DSI et RSSI balancent entre le ras-le-bol et l’action
Par Laurent Delattre, publié le 04 août 2022
Cet été, IT for Business vous propose un second regard sur les papiers et actualités qui ont le plus attiré votre attention durant le premier semestre 2022. L’article ci-dessous a été publié le 20 avril 2022. A la lumière d’un état des lieux réalisés par Splunk et Enterprise Strategy Group, il met en perspective le ras-le-bol exprimé par les DSI et les RSSI en début d’année face à l’augmentation des vulnérabilités dans les logiciels.
Il s’inscrit dans un climat d’inquiétude de hausse du nombre d’attaques et de la complexité des attaques notamment souligné en début d’année par l’ANSSI dans son “panorama de la menace informatique“. Ce rapport constatait un record de vulnérabilités en 2021. Il faisait ainsi écho à la colère des RSSI et DSI exprimée par le CESIN et le CIGREF notamment.
Reste que hausse des attaques et hausse du nombre de vulnérabilités ne vont pas nécessairement de paire. Un récent rapport BeyondTrust sur “les vulnérabilités Microsoft 2022” témoigne d’une baisse (épisodique?) de 5% du nombre de vulnérabilités dévoilées mais surtout d’une chute de près de 50% du nombre de vulnérabilités critiques.
Nous verrons bien si cette tendance se poursuit sur le second semestre et suffit à rassurer et soulager – au moins en partie – les DSI et RSSI français…
L’atmosphère générale n’est guère à l’euphorie. C’est particulièrement vrai dans l’univers de la cybersécurité. Le dernier rapport Splunk trace un portrait un peu déprimé et déprimant de l’état de la cybersécurité et des responsables sécurité en 2022.
Le nouveau rapport « État de la cybersécurité 2022 » signé Splunk et Enterprise Strategy Group montre, sans surprise, non seulement une hausse des attaques mais surtout une hausse des violations réussies.
Tous les chiffres 2022 de cette étude vont en ce sens :
>> 59% des équipes de cybersécurité déclarent avoir dû consacrer beaucoup de temps et de ressources à la résolution des incidents (contre 42% en 2021).
>> 44% des responsables déclarent avoir subi une perturbation des processus métier suite à une attaque (contre 35% en 2021)
>> 49% des entreprises disent avoir subi une violation de données au cours de deux dernières années (contre 39% en 2021)
>> 51% des responsables sécurité signalent des compromissions d’emails professionnels (contre 42% en 2021)
>> 39% des organisations rapportent des attaques internes (contre 27% en 2021)
>> 79% des participants déclarent avoir été confrontés à des attaques par ransomware
>> 35% des répondants admettent qu’une ou plusieurs de ces attaques leur ont fait perdre l’accès aux données et aux systèmes
L’étude se base sur les réponses et avis de 1 227 RSSI et autres experts de la cybersécurité et de l’IT qui consacrent plus de la moitié de leur temps aux problèmes de cybersécurité dans 11 pays dont la France.
Et l’étude continue dans les mauvaises nouvelles. Les cyberattaques provoquent des interruptions de plus en plus fréquentes. Désormais 54% des responsables interrogés admettent subir des interruptions au moins une fois par mois. Et 21% estiment même que ces interruptions surviennent environ une fois par semaine.
Des équipes submergées, un ras-le-bol exprimé
Le rapport montre clairement que les équipes de cybersécurité n’arrivent plus à suivre la tendance. Voilà qui explique notamment le « ras le bol » exprimé en début d’année par les grandes organisations françaises de DSI et de RSSI. Le CIGREF expliquait il y a quelques semaines que l’effort de patching était devenu trop lourd et appelait à des certifications pour des services et logiciels plus sûrs. Le CESIN appelait, lui, les candidats à l’élection présidentielle à en finir avec « l’afflux de logiciels vulnérables » et « une escalade qui n’est plus supportable ».
Reflétant ce ras-le-bol, le rapport Splunk montre que 64 % des responsables interrogés déclarent que le respect des exigences de sécurité est devenu plus difficile ces dernières années (contre 49 % il y a un an). Un sentiment induit par le paysage des menaces, la complexité des piles de sécurité et les problèmes de recrutement.
Les RSSI mettent notamment en avant :
>> pour 29% d’entre eux, la nécessité croissante de se concentrer sur la conformité plutôt que sur les bonnes pratiques
>> pour 28%, le trop de temps consacré à faire face aux urgences
>> pour 26%, la difficulté à gérer la complexité des technologies de sécurité
>> pour 26%, les défis du manque de personnel
Ce dernier point joue un rôle de plus en plus prégnant à la fois sur le « ras-le-bol » exprimé par les associations et sur l’efficacité des équipes de cybersécurité.
Au moins 87 % des participants à l’étude Splunk signalent des problèmes de compétences ou d’effectifs. Par ailleurs, 53 % déclarent ne pas pouvoir embaucher suffisamment de personnel et 58 % se disent incapables de trouver des talents possédant les bonnes compétences.
La « Grande Démission » et les aspirations des salariés post crise pandémique amplifient le phénomène : 85% des entreprises déclarent qu’il est devenu plus difficile de recruter et retenir les talents depuis 1 an.
Le rapport Splunk a le mérite de chiffrer ce sentiment de « ras-le-bol » exprimé par les responsables de cybersécurité et les DSI :
>> 70% des participants déclarent que l’augmentation de la charge de travail qui en résulte les a incités à envisager de changer de poste ;
>> 76% disent que les membres de leur équipe ont été forcés d’assumer des responsabilités pour lesquelles ils ne sont pas prêts ;
>> 68% déclarent que les pénuries de talents sont la cause directe de l’échec d’un ou plusieurs projets/initiatives ;
>> 73% disent que des collègues ont démissionné en raison d’un burn-out.
La médiatisation des attaques sur la Supply Chain sert les DSI
Enfin, comme le soulignait le rapport de l’ANSSI, la chaîne d’approvisionnement numérique est une source croissante d’inquiétude. SolarWinds SunBurst, Kaseya, Log4Shell… Ces attaques ont marqué les esprits et laissé des marques : 97% des entreprises interrogées ont pris des mesures à ce sujet.
Selon le rapport « 90 % des organisations ont déclaré qu’elles se concentraient davantage sur l’évaluation des risques tiers suite à ces attaques très médiatisées. En effet, 61 % des RSSI informent désormais régulièrement leur conseil d’administration et/ou les dirigeants de leur fonction sur les activités dans cet espace ».
Les rapporteurs ajoutent que depuis ces attaques très médiatisées, « la capacité du RSSI à impliquer les décideurs commerciaux et le conseil d’administration a également beaucoup de poids. 54 % des personnes interrogées affirment que ces discussions ont accéléré le passage à l’action, et elles sont 38 % de plus à affirmer que ces actions n’auraient pas eu lieu autrement ».
Des pistes pour améliorer la situation
Face à ces difficultés, à ces défis qui ne font que s’intensifier, les entreprises cherchent des solutions et des réponses. Elles prennent des mesures pour reprendre de l’avance, anticiper les nouveaux risques et les nouvelles menaces, s’adapter à une situation toujours aussi inquiétante.
L’étude trace un tableau des principales mesures prioritaires mises en œuvre :
Bref le moins que l’on puisse dire, c’est que le dernier “Etat de la Cybersécurité 2022” tracé par les analystes de Splunk ne transpire pas l’optimisme. Il reflète finalement assez fidèlement l’inquiétude croissante des responsables IT et Cybersécurité en France comme partout dans le monde, même si les entreprises françaises sont celles qui rapportent le moins d’interruptions d’applications liées aux incidents cyber (3% pour la France contre 23% dans le monde).
À lire également :
> Forrester 2022 : des prédictions plutôt encourageantes, mais pas pour tou(t)s
> Les prévisions du Gartner pour 2022 et au-delà…
> Observatoire du Cloud 2022 : le multicloud progresse mais le on-prem résiste…
> FIC 2022 – Forum International de la Cybersécurité – du 7 au 9 juin 2022 – Lille, Grand Palais
