Cloud

Quelques tristes réalités sur la cybersécurité des entreprises françaises…

Par Laurent Delattre, publié le 09 mars 2020

Le CESIN vient de publier un ensemble d’instantanés sur les pratiques et réflexions des responsables de la cybersécurité. Et il n’y a pas vraiment de quoi se montrer franchement rassurés…

Le CESIN, Club des Experts de la Sécurité de l’Information et du Numérique, a mis en place depuis 2019 un nouveau dispositif d’enquête original. Chaque semaine, le club interroge ses membres en charge de la cybersécurité des entreprises pour « tâter » le terrain et mieux cerner leurs préoccupations. Une seule question est posée chaque fois portant soit sur des concepts, soit sur des stratégies de défense, soit sur des politiques de sécurité, soit sur des risques, processus, méthodes ou outils.

Le club vient de publier un premier volet d’informations comportant 15 questions posées entre septembre 2019 et janvier 2020. Les réponses nous semblent tracer un portrait assez révélateur et fiable de la situation des entreprises françaises à ce jour. Un instantané de la pensée et des analyses des responsables de la cybersécurité français dont nous avons tiré 10 réflexions…

1- Ransomwares : Face au nouvel ennemi public numéro 1 aux ravages sans précédent, les responsables de la sécurité membre du CESIN sont à 91% contre un paiement d’une rançon en cas d’attaque réussie. Toutefois à bien y regarder, il s’agit plutôt d’un « Non, mais… ». Car ils sont en effet 51% au total à être prêt à payer la rançon si la situation (forcément catastrophique) l’exigeait.

2- Technologie EDR : Le marché des solutions de « Endpoint Detection & Response » est en plein boom. Cette nouvelle génération d’outils a été pensée pour aider à la détection de menaces inconnues et la réalisation d’investigations sur la base d’indicateurs de compromission. Tous les éditeurs ont désormais des solutions estampillées « EDR » et font le forcing auprès de leurs clients. 74% des entreprises ont déjà déployé de telles solutions, ont démarré ou vont démarrer un projet EDR. Finalement, seules 28% des entreprises ne se montrent pas intéressées pour le moment. Un chiffre nous interpelle cependant : 7% des entreprises ont déployé une solution EDR comme unique outil de protection des endpoints. Autrement dit, elles ont fait abstraction des antivirus classiques. Reste à savoir si elles sont effectivement aussi bien protégées dans les faits et si cette décision est motivée par la présence en standard d’un antimalware dans Windows 10 qu’un EDR vient compléter.

3- Zéro Trust : L’ère du Zero Trust, ce n’est pas pour tout de suite. Seules 6% des entreprises sont déjà très engagées dans la mise en œuvre de cette philosophie qui implique de repenser bien des processus en plus d’adopter de nouveaux outils de contrôle. Il reste cependant surprenant de découvrir que 35% des responsables avouent ne pas maîtriser les tenants et les aboutissants de ce modèle, 1% d’entre eux considérant même qu’il ne s’agit là pas d’un modèle mais simplement d’un discours marketing.

4- BYOD (Bring Your Own Device) : très appréciée outre-Atlantique, l’approche BYOD reste assez mal acceptée en France. Seules 11% des entreprises l’ont véritablement adoptée.  Le BYOD est admis mais encadré dans 28% des entreprises. Il est interdit en général avec quelques exceptions tolérées dans 22% des cas et remplacé par du COPE (Company Owned, Personally Enabled) dans 31% des cas. Le BYOD et usages privés sont strictement interdits dans 6% cas.
Il n’est dès lors pas surprenant de découvrir que 9% des entreprises ont mis en place une solution UEM de gestion unifiée des postes et mobiles. 52% des entreprises s’appuient sur une solution MDM à l’ancienne et 26% n’ont aucune solution pour sécuriser les mobiles !

5- Stockage en ligne : on le sait, les utilisateurs sont très friands des solutions de stockage comme G Drive, OneDrive (en compte personnel), Box, DropBox… Le Shadow IT démarre souvent avec ces services. Pourtant 71% des entreprises en interdisent l’usage. Dans le détail, 40% ont mis en place des blocages sur les passerelles et les postes alors que 31% n’ont rien mis en place si ce n’est une charte qui prévoit des sanctions.
Ces solutions sont admises sans aucune supervision dans 16% des entreprises.

6- Les mots de passe : Tout le monde l’admet désormais, les mots de passe ne sont pas une sécurité mais simplement une plaie qui nuit à l’expérience utilisateur. Pourtant, seulement 2% des entreprises sont déjà bien engagées dans une approche « sans mot de passe » exploitant les nouveaux standards et les nouvelles méthodes d’authentification.
L’étude du CESIN révèle par ailleurs que seulement 3% des entreprises ont généralisé les dispositifs biométriques pour s’authentifier sur les services et les ordinateurs. Pire encore, 56% des entreprises n’ont aucune réflexion sur ce sujet !

7- DevSecOps : La sécurité se pense dès la conception. Mais seulement 12% des entreprises ont profondément revu leur démarche de sécurisation et ont fait du DevSecOps une réalité. 41% sont cependant en réflexion sur ce sujet. 25% pratiquent un développement sécurisé à la marge sans remise en cause générale. 20% n’ont toujours pas bougé !

8- Active Directory : Le Talon d’Achille de nos systèmes d’information n’est toujours pas suffisamment protégé et surveillé pas plus de la moitié des entreprises. 45% des entreprises se contentent d’un système de sauvegarde basique. Franchement, ça fait peur… Le CESIN rappelle que « qu’elle soit à mener dans l’urgence d’une attaque ou à froid, dans un processus de refonte, la question de la reconstruction d’un Active Directory reste, dans tous les cas, un exercice difficile. La base existante a souvent été construite et enrichie au fil des migrations de versions et des développements du Système d’Information. Elle comporte des adhérences à de nombreux systèmes avec des enjeux forts de sécurité des accès, et les configurations mises en oeuvre ne sont pas nativement très lisibles. Un effort particulier est donc nécessaire pour simplifier son Active Directory et le rendre plus résilient. »

9- Cyber-Crises : Le nombre de cyberattaques conduisant à des crises d’amplitude a largement augmenté. Tous les responsables s’accordent à le reconnaître. Et pourtant 54% des entreprises n’ont pas déjà renforcé leurs dispositifs d’anticipation et de proactivité.
Vu sous un autre angle, le CESIN estime que « 45% des entreprises sont cependant en train de développer leurs moyens de défense, aussi bien sur le plan de la détection que celui de la réaction. Et 20% des répondants ont même déployé cette capacité sur des périmètres géographiques et horaires étendus ».

10- Patching : « Avoir des systèmes à jour sur tous les postes et tous les serveurs » est un prérequis pour une cybersécurité efficiente. Malgré tout, 35% des entreprises maîtrisent toujours assez mal les processus de patching. Largement de quoi inquiéter l’ANSSI…

L’initiative du CESIN est à saluer. Elle mérite d’être poursuivie car ces instantanées ont le mérite “d’appuyer là où ça fait mal” et permettront de mesurer dans le temps les évolutions des pratiques et des réflexions. Ces résultats de ce premier volet ne sont certes pas surprenants mais ils permettent déjà de mesurer la maturité des entreprises françaises en matière de cybersécurité et le chemin qu’il reste à parcourir pour que les bonnes pratiques modernes soient largement adoptées.

Le CESIN a également réalisé un classement des types de scénarios d’attaque que les responsables jugent les plus probables en 2020. Voici ce classement :

1 er     : Attaques par rebond exploitant les vulnérabilités des fournisseurs
2eme : Ransomwares
3eme : Compromission des emails (Business Email Compromission) suivies par une arnaque
4eme : Combinaison de ransomwares et d’exfiltration de données donnant lieu à des extorsions.
5eme : Attaques sur les solutions Cloud suite à une expertise insuffisante en interne
6eme : Attaques via les objets connectés
7eme : Introduction de codes malveillants dans les chaînes de développement
8eme : Attaques de sites, Web Apps et services par Credential Stuffing
9eme : Attaques par phishing SMS ou phishing par téléphone
10eme : Arnaques utilisant de la voix contrefaite ou des deepfakes


Pour en savoir plus sur l’enquête : Les Instantanés du CESIN

Dans l'actualité