Trace Id is missing

La cyber-résilience

Comprendre comment les professionnels de la sécurité se concentrent sur la cyber-résilience et l'optimisation de la cybersécurité pour leur organisation

Neuf responsables de la sécurité sur dix qui ont déclaré se sentir vulnérables aux attaques pensent que la sécurité est un moteur de l’activité.

Sécurité Microsoft a mené une enquête auprès de plus de 500 professionnels de la sécurité dans le but de comprendre les tendances émergentes en la matière et les principales préoccupations des responsables de la sécurité des systèmes d’information (RSSI). Découvrez comment les responsables de la sécurité s'attaquent au paysage de menaces le plus sophistiqué qu'ils aient jamais vu et pourquoi ils sont optimistes quant à l'avenir.

5 étapes vers la cyber-résilience :

  • Accepter la vulnérabilité comme un fait du travail hybride et passer à la résilience
  • Limiter la portée des attaques de rançongiciel
  • Faire de la cybersécurité une fonction stratégique de l'entreprise
  • Reconnaître que vous disposez peut-être déjà de ce dont vous avez besoin pour gérer les menaces grandissantes
  • Implémenter les principes fondamentaux de la sécurité

Ces dernières années ont accéléré trois tendances existantes et la tension entre elles : (1) comment être compétitif dans un paysage commercial en évolution rapide, (2) comment se défendre contre des cybermenaces de plus en plus sérieuses, et (3) comment atteindre ces deux objectifs tout en réduisant la complexité et en se transformant numériquement.

Avec l'adoption du travail hybride, les réseaux d'entreprise deviennent de plus en plus dispersés, compliqués et ambigus. Si les entreprises veulent gérer les risques dans cet espace virtuel hyperconnecté, la stratégie de cybersécurité doit évoluer. Les principes fondamentaux tels que l'authentification multifacteur (MFA) et les mises à jour correctives sont toujours la pierre angulaire de la sécurité, mais une approche de la sécurité basée sur le périmètre n'est plus viable. Au contraire, les organisations peuvent atténuer l'impact de l'escalade des menaces de sécurité en adoptant une position de résilience.

Notre récente enquête auprès de plus de 500 professionnels de la sécurité montre que ce changement est en cours, les dirigeants préférant désormais se préparer aux menaces et aux attaques plutôt que les prévenir. L'approche émergente fait de la sécurité une fonction stratégique de l'entreprise qui permet de travailler aujourd'hui tout en atténuant les risques et en minimisant l'impact des attaques.

  • 61 % des responsables de la sécurité estiment que le nuage est l'élément numérique le plus susceptible d'être attaqué.
  • 2 personnes sur 3 déclarent que le travail hybride a rendu leur organisation moins sûre.
  • 40 % de toutes les attaques de l'année dernière, et la moitié de toutes les attaques contre le nuage, ont eu un impact significatif sur l'activité.

Le travail hybride a propulsé les entreprises de tous types dans le nuage, dissipant toute illusion de périmètre. Plus que jamais, le travail s'effectue dans des espaces difficiles à défendre, entre les plateformes, les applications dans le nuage, les appareils personnels et les réseaux domestiques. Il n'est donc pas étonnant que deux responsables de la sécurité sur trois affirment que le travail hybride a rendu leur organisation moins sûre. Les vulnérabilités des réseaux et du nuage sont aujourd'hui la principale préoccupation des responsables de la sécurité, dépassant même l'éternelle menace des logiciels malveillants. 61 % des responsables de la sécurité considèrent que l'infrastructure et les applications dans le nuage sont les éléments de l'environnement numérique les plus susceptibles d'être attaqués, suivis par les réseaux. Près de la moitié d'entre eux désignent les courriels et les outils de collaboration, les instruments du télétravail, comme leurs caractéristiques numériques les plus vulnérables.

45 % des professionnels de la sécurité considèrent que la les courriels et les outils de collaboration sont les éléments de leur organisation les plus exposés aux attaques.

Ces responsables ont raison de s'inquiéter. D'après nos recherches, les violations dues à une mauvaise configuration du nuage sont tout aussi fréquentes que les attaques de logiciels malveillants et sont encore plus associées à des dommages importants pour l'entreprise. Environ une entreprise sur trois a signalé un problème de mauvaise configuration du nuage au cours de l'année écoulée, ce qui représente une incidence plus élevée que toute autre attaque, à égalité avec les logiciels malveillants. Cependant, les attaques dans le nuage et par logiciels malveillants divergent quant à la gravité de leur impact. Alors qu'environ la moitié des victimes de violation de la sécurité dans le nuage et l'IoT ont fait état d'un impact commercial important (temps d'arrêt opérationnel, vol de données sensibles et atteinte à la réputation) à la suite d'attaques de sécurité, moins d'un tiers des victimes de logiciels malveillants et de hameçonnage ont subi ce niveau de dommages. Selon les décideurs en matière de sécurité, environ 40 % des failles de sécurité survenues au cours de l'année écoulée ont eu un impact significatif sur l'activité.

Les réseaux hybrides d'aujourd'hui, déployés sur de multiples plateformes et environnements nuage, échappent aux mesures de sécurité traditionnelles. Les responsables de la sécurité et les professionnels identifient la « difficulté à gérer un environnement multi-cloud » comme leur plus grand défi en matière de sécurité. Près d'un tiers d'entre eux signalent des difficultés à sécuriser l'organisation sur plusieurs plateformes. Ces réseaux dispersés dans le nuage sont intrinsèquement difficiles à sécuriser ; par exemple, il peut y avoir des milliers de politiques, il est donc difficile de savoir lesquelles sont actives.

Avec l'avènement du travail hybride, les entreprises n'auront plus la possibilité de se retrancher dans le château fortifié d'un réseau interne d'entreprise. Les responsables de la sécurité doivent plutôt considérer la vulnérabilité comme une caractéristique de l'environnement de travail hybride et chercher des moyens de minimiser l'impact des attaques sur l'activité.

Ce que les responsables de la sécurité peuvent faire : Embaucher des experts du nuage. La sécurisation du nuage n’a rien à voir avec la sécurisation d'un réseau interne. Les règles et les enjeux sont différents. Certaines des personnes interrogées comptent sur leurs professionnels pour être des « touche-à-tout », tandis que d'autres s'appuient sur des experts du nuage, voire sur des ingénieurs spécialisés dans le nuage qui ne font pas partie de l'équipe de sécurité. Étant donné que les principales vulnérabilités du nuage sont des erreurs d'administration telles qu'une mauvaise configuration et une application incohérente des politiques de sécurité, notre étude suggère qu'il est judicieux d'avoir des spécialistes travaillant sur la sécurité du nuage qui comprennent parfaitement les systèmes du nuage (même s'ils n'ont pas d'expertise traditionnelle en matière de sécurité).
  • 1 entreprise sur 5 interrogée a subi une attaque de rançongiciel l'année dernière.
  • La moitié de ces attaques ont eu un impact significatif sur l’activité de l'entreprise.
  • Les victimes qui ont payé la rançon n'ont récupéré que 65 % de leurs données, et un tiers en a récupéré moins de la moitié.

Dans une tempête parfaite de dangers pour la sécurité, les rançongiciels se multiplient en m$eme temps que les réseaux d'entreprise prolifèrent dans le multivers du nuage. Près d'un responsable de la sécurité sur cinq déclare avoir été victime d'une attaque de rançongiciel au cours de l'année écoulée et environ un tiers d'entre eux classent les rançongiciels parmi leurs principales préoccupations en matière de sécurité. Les rançongiciels ont augmenté de 1 070 % entre juillet 2020 et juin 2021, selon le Rapport d’enquête sur les rançongiciels 2021de Fortinet (Fortinet 2021 Ransomware Survey Report).

La gravité des attaques augmente également : les ransomwares ont causé des dommages estimés à 20 milliards de dollars USD en 2021 ; d'ici 2031, ce chiffre devrait dépasser 265 milliards USD (Cybersecurity Ventures2022 Cybersecurity Almanac). Le coût moyen d'une attaque par rançongiciel est de 4,62 millions USD (en coûts d'escalade, de notification, de perte d'activité et de réponse, sans compter la rançon), selon le  Rapport sur les coûts d’une violation de données 2021 (Cost of a Data Breach Report 2021) de l’institut Ponemon.

Le coût financier n'est qu'une partie de l'histoire. Près de la moitié (48 %) des victimes d'attaques par rançongiciel interrogées dans le cadre de notre étude déclarent que ces attaques ont entraîné des temps d’arrêt importants de l’activité, l'exposition de données sensibles et une atteinte à la réputation de l'entreprise.

48 % des victimes d'attaques par rançongiciel déclarent que ces attaques ont entraîné des temps d’arrêt importants de l’activité, l'exposition de données sensibles et une atteinte à la réputation.

En moyenne, les organisations qui ont payé la rançon n'ont récupéré que 65 % de leurs données, et 29 % d'entre elles n'ont récupéré que la moitié de leurs données.

Le « Rançongiciel en tant que service » est à l'origine de l'essor fulgurant de cette forme de criminalité. Selon nos chercheurs en sécurité, la maturation des chaînes d'approvisionnement en cybercriminalité permet aux cybercriminels d'acheter des kits et des services de cybercriminalité éprouvés pour seulement 66 USD. Ces kits bon marché permettent à tout criminel opportuniste d'accéder à de meilleurs outils et à l'automatisation afin d'augmenter l'échelle, d'accroître la sophistication de ses attaques et de réduire les coûts. Par conséquent, l'économie qui sous-tend les attaques réussies de ransomware alimente leur progression rapide.

Ce que les responsables de la sécurité peuvent faire : Appliquer les principes de Confiance nulle. Les attaques de rançongiciel se résument à trois vecteurs d'entrée principaux : la force brute du protocole de bureau à distance (RDP), les systèmes vulnérables accessible sur Internet et le hameçonnage. Les organisations peuvent limiter l'ampleur des dégâts en obligeant les attaquants à redoubler d'efforts pour accéder à plusieurs systèmes vitaux pour l'entreprise. En établissant un accès avec un privilège minimum et en adoptant les principes de la Confiance nulle, les attaquants qui s’introduisent dans un réseau sont moins en mesure de se déplacer à travers le réseau et de trouver des données précieuses à verrouiller (Rapport de défense numérique Microsoft).

  • Plus de la moitié des responsables de la sécurité se sentent vulnérables face à une cyberattaque de grande ampleur.
  • La vulnérabilité est fortement corrélée à un état de la sécurité mature (83 %) et à la perception de la sécurité comme une fonction stratégique de l'entreprise (90 %).
  • 78 % de ceux qui se sentent extrêmement vulnérables aux attaques ont mis en place un système complet de Confiance nulle.

Dans le paysage actuel des menaces de sécurité, connaissance est synonyme de pouvoir. Nos recherches ont révélé des corrélations spectaculaires entre la prise de conscience de la vulnérabilité et un état de la sécurité mature qui traite la sécurité comme une fonction stratégique de l'entreprise. Plus de la moitié des responsables de la sécurité se sentent vulnérables face à une cyberattaque de grande ampleur. Par ailleurs, les personnes qui se sentent les plus vulnérables sont aussi, à une écrasante majorité, celles qui sont les plus matures en matière de sécurité, 83 % contre 35 % pour l'ensemble des personnes interrogées. En outre, neuf responsables de la sécurité sur dix qui ont déclaré se sentir vulnérables aux attaques perçoivent la sécurité comme un « moteur de l'activité. »

Il s'agit d'un changement de paradigme en matière de sécurité : la valeur d'un bon état de la sécurité réside dans la prise de conscience du paysage des menaces et dans la résilience, et non dans la prévention des attaques individuelles.1

83% des décideurs en matière de sécurité qui se sentent extrêmement vulnérables à une attaque déclarent que leur organisation font preuve d’un état de la sécurité supérieur à la moyenne.

Cette évolution vers un modèle de résilience en matière de sécurité est illustrée par les données d'adoption de la Confiance nulle en corrélation avec la vulnérabilité et un solide état de la sécurité. La quasi-totalité (98 %) des personnes interrogées qui se sentaient extrêmement vulnérables aux attaques appliquaient la Confiance nulle, et 78 % d'entre elles ont déjà mis en place une  stratégie de Confiance nulle  complète. La Confiance nulle suppose une violation et optimise la résilience plutôt que la protection. Lors des entretiens, les personnes interrogées qui ont fait état d'une certaine maturité dans leur démarche « Confiance nulle » étaient également plus susceptibles de considérer les attaques comme une fatalité plutôt que comme une menace que l'on peut éviter. Nos recherches ont confirmé que les personnes avec une maturité « Confiance nulle » n'ont pas fait état d'une incidence moindre des attaques. Mais il a été démontré que la Confiance nulle réduisait le coût moyen d'une violation de 35 %, passant de 5,04 millions USD sans Confiance nulle à 3,28 millions USD avec un déploiement mature de la Confiance nulle (Rapport sur les coûts d’une violation de données 2021 (Cost of a Data Breach Report 2021)).

74 % des décideurs en matière de sécurité qui ont mis en place un système complet de Confiance nulle déclarent que leur état de la sécurité est nettement supérieur à celui de leurs pairs.

Ce que les responsables de la sécurité peuvent faire : Évaluer votre approche de la Confiance nulle. C'est cet état de la sécurité résilient qui fait passer la sécurité du statut de service de protection à celui d'outil stratégique pour l'entreprise. Dans les entretiens, les RSSI attribuent à cette approche proactive de la sécurité le mérite de faciliter le travail hybride, d'améliorer l'expérience et la confiance des consommateurs et de soutenir l'innovation. L'adoption de la Confiance nulle fait partie intégrante de la résilience. Vous pouvez évaluer le niveau de maturité de la Confiance nulle de votre organisation avec des outils d'évaluation ciblés de Sécurité Microsoft.
  • Seul l'IoT devrait être un problème aussi important dans deux ans qu'il ne l'est aujourd'hui ; tous les autres défis en matière de sécurité devraient voir leur impact diminuer.
  • Les répondants sont 28 % moins nombreux qu'aujourd'hui à considérer les réseaux comme un problème de sécurité important dans deux ans.

Les organisations spécialisées dans la sécurité sont réalistes quant aux menaces inhérentes aux environnements numériques de plus en plus complexes d'aujourd'hui, et optimistes quant à leur capacité à gérer les défis futurs. Dans deux ans, les responsables de la sécurité prévoient que même les aspects les plus vulnérables de leur environnement numérique actuel deviendront moins problématiques. Par exemple, alors que près de 60 % des responsables considèrent les réseaux comme une vulnérabilité aujourd'hui, seuls 40 % estiment que ce problème persistera dans deux ans. En d'autres termes, un tiers des responsables concernés aujourd'hui estiment que les réseaux ne seront plus un problème majeur dans deux ans. Les préoccupations relatives à toutes les autres caractéristiques diminuent également dans les perspectives des deux prochaines années : 26 répondants de moins citent les outils de messagerie et de collaboration et les utilisateurs finaux comme une préoccupation anticipée ; environ 20 % de moins considèrent la vulnérabilité de la chaîne d'approvisionnement comme une préoccupation majeure ; et 10 à 15 % de répondants en moins citent les points de terminaison et les applications dans le nuage comme une préoccupation majeure en matière de sécurité dans deux ans par rapport à aujourd'hui. Seuls la technologie opérationnelle et l'IoT devraient représenter un défi identique ou plus important dans deux ans.

La baisse des inquiétudes pour la quasi-totalité des caractéristiques de sécurité est remarquable étant donné le consensus selon lequel les cybermenaces sont de plus en plus sérieuses, ont un impact plus important et sont plus difficiles à éviter. Comment les attaques peuvent-elles être de plus en plus graves mais de moins en moins dangereuses ? Les professionnels de la sécurité sont convaincus que l'approche actuelle de la sécurité protégera mieux leurs organisations dans les années à venir, à mesure qu'elle sera implémentée dans les chaînes d'approvisionnement, les réseaux de partenaires et les écosystèmes. Dans une étude récente du  Forum économique mondial (World Economic Forum), la grande majorité des responsables de la sécurité (88 %) ont fait part de leurs préoccupations concernant la cyber-résilience des petites et moyennes entreprises (PME) dans leurs écosystèmes. Les PME risquent d'être ciblées comme le maillon faible jusqu'à ce qu'elles atteignent la même maturité dans leur état de la sécurité.

Ce que les responsables de la sécurité peuvent faire : Assurer l’implémentation complète des outils de sécurité. Donner la priorité à une stratégie Confiance nulle solide et assurer une implémentation complète pour servir de base à votre modèle de sécurité et guider les investissements et les projets futurs. Assurez-vous que vos investissements existants en matière de sécurité (Protection évolutive des points de terminaison, sécurité de la messagerie, gestion des identités et des accès, broker de sécurité d'accès au nuage et outils intégrés de protection contre les menaces) sont correctement configurés et pleinement implémentés. Pour ceux qui possèdent des produits Microsoft, découvrez comment tirer le meilleur parti de vos investissements Microsoft et renforcer votre stratégie de Confiance nulle.

  • Une hygiène de sécurité de base protège toujours contre 98 % des attaques.
  • Seuls 22 % des clients Azure ont implémenté une protection forte de l'authentification de l'identité.

Le personnel et les budgets étant limités, il est plus important que jamais pour les responsables de la sécurité de gérer les risques et de fixer les bonnes priorités. De nombreux dirigeants nous disent que le renforcement de leur cyberhygiène pour empêcher les lignes d'attaque les plus courantes, en particulier dans le cadre de leur empreinte numérique croissante, est leur priorité majeure. Nos données et nos recherches confirment ce sentiment : nous estimons que l'hygiène de sécurité de base protège encore contre 98 % des attaques (voir la page 124 du Rapport de défense numérique Microsoft d’octobre 2021).

Presque toutes les cyberattaques pourraient être déjouées en activant l'authentification multifacteur (MFA), en appliquant l'accès au privilège minimum, en mettant à jour les logiciels, en installant des protections contre les logiciels malveillants et en protégeant les données. Pourtant, l'adoption d'une forte authentification de l'identité reste faible. Nos recherches internes montrent que, dans tous les secteurs, seuls 22 % des clients utilisant Microsoft Azure Active Directory (Azure AD), Microsoft’s Nuage Identity Solution, ont implémenté une protection forte pour l'authentification de l'identité en décembre 2021 (Cyber Signals).

Ce que les responsables de la sécurité peuvent faire : Commencer par l'identité. Christopher Glyer, Responsable Veille des menaces du Centre de Veille des menaces Microsoft (MSTIC), exhorte les organisations à accorder une plus grande importance à la sécurité de l'identité : « Disposer de protections de l’identité numérique sécurisées, qu’il s'agisse de l’authentification multifacteur (MFA), d’une solution sans mot de passe ou autres défenses comme les stratégies d’accès conditionnel, réduit cette possibilité et rend beaucoup plus difficile l’élévation de la barre d’attaque. » Obtenez des conseils sur l'identité numérique et le reste de vos systèmes grâce aux Meilleures pratiques de Sécurité Microsoft.

Le chemin vers la cyber-résilience

La période actuelle est une période de transition. En misant davantage sur la flexibilité du lieu de travail et en accélérant leur transformation numérique au cours des dernières années, les organisations se sont exposées à de nouvelles attaques plus graves. Le périmètre s'est élargi et est de plus en plus hybride, couvrant plusieurs clouds et plateformes. Bien que les nouvelles technologies aient été une bénédiction pour de nombreuses organisations, permettant la productivité et la croissance même dans des périodes difficiles, les changements ont également offert une opportunité aux cybercriminels, qui s'efforcent d'exploiter les vulnérabilités trouvées dans des environnements numériques de plus en plus complexes. Pour résister aux attaques, les organisations doivent adopter une bonne cyberhygiène, implémenter des architectures qui soutiennent les principes de la confiance zéro et intégrer la gestion des risques cybernétiques dans leurs activités.
  1. [1]

    Il est intéressant de noter que les résultats de l'enquête n'ont pas révélé de corrélation entre ceux qui ont subi une attaque importante et ceux qui ont un état de la sécurité plus fort ou qui ont adopté de manière plus complète la Confiance nulle. Cela pourrait suggérer que la vulnérabilité est à l'origine d'un état de la sécurité plus fort, ou que la réduction des attaques n'est pas l'objectif, contrairement à la réduction de l'impact.

Articles connexes

Cyber Signals : Numéro 1

L’identité est le nouveau champ de bataille. Découvrez comment les cybermenaces évoluent et quelles sont les mesures à prendre pour mieux protéger votre organisation.

Trois moyens de vous protéger contre les rançongiciels

Une défense moderne contre les rançongiciels nécessite bien plus que la mise en place de mesures de détection. Découvrez les trois meilleurs moyens de renforcer la sécurité de votre réseau contre les rançongiciels, dès aujourd’hui.

Profil d’expert : David Atch

Dans notre dernier profil d’expert, nous nous sommes entretenus avec David Atch, responsable de la recherche sur la sécurité IoT/OT chez Microsoft, pour parler des risques de sécurité croissants liés à la connectivité IoT et OT.

Suivez la Sécurité Microsoft