La mise à jour des systèmes et des équipements constitue l’une des bonnes pratiques fondamentales en cybersécurité et contribue activement à l’hygiène des systèmes d’information. Tous les DSI et RSSI le savent… Mais tous composent avec les réalités Business…

Ainsi, 94% des DSI et RSSI français ont déjà renoncé à réaliser une mise à jour de sécurité par crainte de son éventuel impact sur l’activité commerciale de l’entreprise. 61% admettent l’avoir fait à plusieurs reprises ou le faire régulièrement. C’est ce que révèle une nouvelle étude Censuswide, commissionnée par Tanium, auprès de 4022 entreprises de plus de 1000 employés en France, Allemagne, Angleterre, Japon et USA.

Ce n’est pas en soi pas une surprise. En France notamment, les DSI se sont toujours montrés très frileux face aux mises à jour et notamment face à des mécanismes automatisés comme Windows Update. Ce qui explique notamment pourquoi les entreprises françaises ont été parmi les principales victimes du ransomware WannaCry alors que le patch de sécurité corrigeant la faille permettant sa propagation était disponible depuis plusieurs mois.

Toutefois, ces compromis acceptés par les DSI sont parfois réalisés à contrecœur. Pour 37% des responsables français interrogés, ils sont le résultat direct des pressions exercées par les directions métiers afin d’assurer la continuité de service.

Pour Dagobert Levy, VP Sud EMEA chez Tanium, cette étude illustre « le manque de prise de conscience de la part des dirigeants de l’importance du maintien du parc informatique pour une bonne protection de leur entreprise ». D’ailleurs, selon cette étude, 47% des DSI estiment rencontrer les plus grandes difficultés à faire comprendre aux unités métiers l’importance de la cyber-résilience. 40% des DSI estiment que bien des incidents de cybersécurité surviennent parce que les Business Units donnent la priorité à leur processus métiers et à la satisfaction de la clientèle au mépris des protocoles de sécurité.

Mais l’étude s’attarde également sur les freins qui conduisent à ce manque de cyber-résilience. 34% des personnes interrogées citent la complexité croissante de l’entreprise et du SI. 33% estiment qu’une partie des problèmes résultent du fait que les hackers sont plus compétents/plus informés que les équipes IT en matière de cybersécurité. 24% estiment que le manque de cyber-résilience provient d’un manque de visibilité sur les points d’entrée des attaquants. 21% affirment ne pas avoir les outils et les compétences au sein de l’entreprise pour détecter les cybermenaces en temps réel. 20% accusent l’organisation trop silotée des métiers d’être à l’origine de ce manque de cyber-résilience.

Si 9 DSI sur 10 avouent devoir composer entre les fondamentaux de la cybersécurité et les nécessités opérationnelles, ils restent conscients et préoccupés des impacts potentiels occasionnés par ces mises à jour repoussées et non effectuées. À l’heure du RGPD, ils sont 35% à s’inquiéter de la potentielle perte de données personnelles, 33% à se préoccuper de la potentielle perte de confiance de leurs clients, et 25% à s’alarmer de l’incapacité de leur entreprise à se conformer aux règlements en vigueur.

En d’autres termes, la problématique du « patching » des systèmes n’a pas fini de défrayer l’actualité d’autant que celle-ci prend petit à petit une toute autre ampleur avec la multiplication de l’IoT et l’intérêt croissant des cybercriminels pour ces objets connectés aux mises à jour mal maîtrisées. Non seulement les DSI doivent repenser leur stratégie en matière d’hygiène de leur SI, mais toutes les directions métiers doivent aussi embrasser un vrai changement culturel et revoir la priorité qu’elles donnent à la cybersécurité.

Sources :
Tanium : Endpoint Security & IT Operations can’t be a trade-off
Infographie : Tanium Study CIOs & CISOs hold back from implementing critical measures