Actualités

Les RSSI face à un dilemme : recourir à plusieurs solutions renforce leur posture de sécurité mais multiplie les alertes et diminue leur productivité

avril 2018


Une enquête Bitdefender souligne qu’une solution EDR performante peut remplacer un SOC pour répondre aux problèmes de sécurité

Bitdefender, leader mondial des technologies de cybersécurité protégeant plus de 500 millions d’utilisateurs à travers le monde, a publié aujourd’hui les résultats de sa dernière enquête. Elle révèle que plus de la moitié des RSSI dans le monde (68 % en France) s’inquiètent de la pénurie de compétences à l’échelle mondiale. Parmi les responsables interrogés à travers le monde, 69 % affirment que leurs équipes manquent de moyens ; et pour plus de la moitié d’entre eux (Italie mise à part), leur équipe dédiée à la sécurité informatique est trop restreinte. Les professionnels de la sécurité des informations sont 72 % à affirmer que leur équipe informatique perd en productivité à cause de la multiplication des alertes de sécurité ; et 29 % des RSSI français interrogés déclarent que leur budget ne leur permet pas de faire face à l’expansion de leur infrastructure.

 

L’enquête de Bitdefender met en lumière les attentes des RSSI à l’ère de la prévention–détection–réponse–recherche, et révèle comment le manque de visibilité, de réactivité et de personnel affecte la mise en place de pratiques plus fiables en matière de sécurité dans des entreprises au sein desquelles les équipes informatiques souffrent à la fois d’une surcharge de travail et d’une pénurie de ressources. Pour cette enquête, Bitdefender a interrogé 1 050 personnes responsables de l’achat de solutions de sécurité informatique dans des entreprises américaines et européennes.

 

La moitié des RSSI ayant répondu, ont admis que leur entreprise avait subi au cours de l’année dernière une violation de sécurité, et dans un cas sur six, ils ne savent pas comment cet incident a  pu se produire. En France, 58 % des personnes interrogées ont été victimes d’une attaque sophistiquée ou d’une attaque par malware. Un quart des sondés estime que cette tendance va se poursuivre et que leur entreprise peut, en ce moment même, être victime de l’exploitation d’une faille de sécurité sans qu’ils s’en rendent compte. Les RSSI en France pensent que 57 % des attaques sophistiquées peuvent être évitées, détectées et isolées à l’aide des outils de sécurité existants, mais d’après eux, ce processus de détection prendrait trois semaines.

 

Alors qu’on s’attend à ce que le coût lié aux violations de la sécurité informatique dans le monde atteigne 6 000 milliards de dollars d’ici 2021, les analystes constatent que les entreprises réorientent leurs dépenses en matière de sécurité : elles passent d’une démarche préventive à une approche davantage axée sur la détection et la réponse. D’après Gartner, les dépenses liées à l'amélioration des capacités de détection et de réponse des endpoints (EDR) devraient être la priorité des RSSI d'ici 2020.

 

Améliorer les outils pour une détection et une réponse plus rapides

Les RSSI s’accordent à dire que la prévention laisse à désirer et que l’investigation sur les menaces est une contrainte. Les capacités EDR peuvent assurer une meilleure détection et une

 

meilleure réponse face aux incidents de sécurité qui se multiplient. Par ailleurs, l’automatisation peut permettre de pallier la pénurie mondiale de professionnels de la sécurité informatique. Les outils EDR s’adressent notamment aux entreprises aux ressources limitées, qui fonctionnent avec une équipe informatique réduite et sans Security Operation Center (SOC). Cependant, la moitié des responsables informatiques dans le monde affirme que la gestion des outils EDR est complexe, voire très complexe. En France, 45% des alertes déclenchées par des techniques de surveillance des endpoints et de réponse se sont révélées fausses. Pour 52 % des sondés français travaillant dans des entreprises sans SOC, les activités de surveillance représentent un défi majeur. Repérer une violation de sécurité suppose de lutter contre la perte de temps liée aux alertes – « bruyantes » et nombreuses – des solutions de sécurité traditionnelles. C’est ensuite une course contre la montre afin de faire le tri entre toutes ces alertes, ce qui peut être particulièrement difficile si l’équipe est déjà surchargée et en sous-effectif. La moitié des sondés français et un tiers des sondés tous marchés confondus citent l’absence d’outils de sécurité dédiés comme étant le principal obstacle qui empêche une détection et une réponse rapides en cas d’attaque informatique.

 

Pas de temps à perdre !

En moyenne, 82 % des professionnels de la sécurité en Europe et aux États-Unis affirment que le temps de réaction est un facteur essentiel pour atténuer les effets des cyberattaques. Ils ajoutent que chaque minute compte lorsqu’on isole un incident, pour : éviter qu’il ne se propage (68 %), identifier sa source (55 %) et évaluer les pertes et les effets qu’il va causer (51 %). Ils estiment également que plus la réponse est tardive, plus il est difficile de repérer précisément le début de l’attaque et de décrire son déroulement (30 %) ; de comprendre ce qui a motivé cette attaque (19 %) ou d’améliorer les plans de réponse en cas d’incident ultérieur (17 %).

 

« Confrontées aujourd’hui au manque de ressources et de compétences, les équipes de sécurité informatique doivent adopter une approche de détection et de réponse dédiée aux endpoints (EDR). Cela permet de limiter les interventions humaines tout en préservant la grande qualité des investigations en cas d’incident », explique Harish Agastya, VP of Enterprise Solutions chez Bitdefender. « Tout le monde peut utiliser une solution EDR, grâce à la méthode en entonnoir de type prévention–détection–recherche–réponse. La couche EDR se concentre donc sur le bas de l’entonnoir pour traiter les menaces potentielles ou inconnues, tandis que les équipes informatiques n’ont plus qu’à traiter les alertes et les tâches réellement significatives. »

 

Les spécialistes de la sécurité chez Bitdefender conseillent vivement aux RSSI de ne pas négliger l’importance et la valeur d’une approche intégrée pour sécuriser leurs endpoints :

  • Prévention : bloque toutes les menaces connues et d’un grand nombre de menaces inconnues dès la phase de pré-exécution, sans pour autant saturer les moteurs d’analyse EDR avec des alertes superflues.
  • Détection : couplée à des informations intégrées en provenance des moteurs de protection contre les menaces et découlant de l’analyse d’une série de comportements transmise par un enregistreur d’événements sur les endpoints.
  • Recherche : facilitée par des informations contextuelles pertinentes sur le type de menaces détectées (grâce aux informations intégrées), la raison de la détection (grâce à l’analyse des menaces) et le verdict final (grâce à la sandbox intégrée).
  • Réponse : via un seul et unique tableau de bord dédié à la réponse aux incidents, qui permet de déployer des actions correctives tactiques et immédiates, à l’échelle de l’entreprise.
  • Évolution : grâce à une boucle de retour d’informations entre la détection actuelle et la prévention ultérieure via un système intégré d’ajustement et de renforcement des politiques.

 

Méthodologie

L'enquête a été réalisée en février et mars 2018 par Censuswide pour Bitdefender, auprès de 1 050 RSSI, responsables de l’achat de solutions de sécurité informatique au sein de grandes entreprises comptant plus de 1 000 PC et des datacenters : 250 aux États-Unis, 154 en Allemagne, 150 au Royaume-Uni, 150 en France, 150 en Italie, 101 au Danemark et 100 en Suède. Les hommes représentent 69 % de la population interrogée, et plus d’un tiers des sondés ont entre 35 et 44 ans.

 

Plus de 90 % des organisations interrogées aux États-Unis et en Europe comptent plus de 500 employés, dans des secteurs aussi divers que l’informatique et les télécommunications (38 %), l’industrie et les services publics (14 %), la finance (12 %), les services aux entreprises (10 %) et le commerce de détail (7 %), entre autres.