Comprendre les défis de sécurité de la transformation numérique

transformation numerique

Une étude récente montre que les professionnels de l’IT ont des difficultés à suivre la transformation numérique. Les nouvelles technologies connectées et les infrastructures virtuelles aident les entreprises à innover plus rapidement et à digitaliser l’expérience client. Cependant, les nouvelles opportunités offertes s’accompagnent d’un ensemble de défis de sécurité du fait de l’élargissement des surfaces d’attaque. Cette épée à double tranchant devient, de plus en plus, un sujet de discussion pour les directions des entreprises. Comment ces dernières suivent-elles le rythme de l’innovation (et de la concurrence) tout en protégeant leurs actifs critiques des failles de sécurité et de la non-conformité ?

 

La technologie full stack a besoin d’une sécurité complète

Dans la course à la transformation numérique, de plus en plus d’organisations se tournent vers les nouvelles technologies et l’architecture sans serveur pour accélérer leur productivité. Ceci étend l’infrastructure technologique des datacenters traditionnels à l’open source, aux infrastructures virtualisées et aux conteneurs. Mais cette expansion a un coût : le terrain de jeu virtuel des nouvelles technologies offre aux hackers une myriade d’opportunités pour perturber les activités et d’obtenir des accès non autorisés.

transformation numerique

D’après notre dernière étude menée auprès de professionnels de l’IT pendant la RSA Conférence de San Francisco 2018, 25% des organisations admettaient quelles se concentraient en priorité sur la sécurité de leurs infrastructures Cloud et leurs applications, 23% ont cités leurs appareils connectés (IoT), 20% leurs appareils mobiles alors que 15% répondaient être plus inquiets au sujet de leurs applications web et 13% au sujet de leurs actifs, bases de données et fichiers partagés. Les professionnels de l’IT se sont globalement montrés moins préoccupés par leurs propres infrastructures et datacenters, n’étant que 5% à les trouver moins bien sécurisés.

Cependant, leurs inquiétudes sont bel et bien fondées. Les actifs clés et les données deviennent de plus en plus distribués, tout comme les surfaces d’attaques. Les hackers ont aujourd’hui plus de moyen d’obtenir les accès, de s’implanter profondément et de se déplacer latéralement dans le système d’une organisation. Il ne suffit plus de rechercher et de minimiser les vulnérabilités sur une partie de l’infrastructure indépendamment des applications, réseaux Cloud et autres technologies connectées. Pour protéger votre organisation, avoir une visibilité complète des faiblesses de sécurité de votre ensemble de composants technologiques et comprendre les risques liés à celles-ci deviendront indispensables.

 

Les équipes de sécurité sont bloqués par manque de compétences ou de ressources

Ayant des responsabilités supplémentaires pour protéger une infrastructure technologique en constante expansion, les professionnels de l’IT doivent sécuriser davantage de périmètres, d’infrastructures, de charges de travail et de données dans le cloud partout dans le monde. Mais, le plus souvent, les organisations ne préparent pas leurs équipes de sécurité avec les compétences et les ressources nécessaires pour faire face à la nouvelle pression des cyber-attaques.

Dans notre rapport RSA, plus de 40% des professionnels de l’informatique interrogés reconnaissent ignorer les problèmes de sécurité critiques lorsqu’ils ne savent pas comment les résoudre (16%) ou quand ils n’ont pas le temps de le faire (26%).

Un bon exemple est la montée en puissance du développement de logiciels agiles et du recours au DevSecOps. Les logiciels et les applications étant continuellement mis à jour pour améliorer la sécurité, les professionnels de l’IT n’arrivent pas à suivre le rythme. La sécurité a donc besoin d’être introduite plus en amont dans le cycle de vie du développement d’applications afin de minimiser les vulnérabilités et de partir sur des bases saines. De plus, la pénurie de compétences en cybersécurité est bien réelle et reste un des problèmes les plus importants pour les RSSI. Les professionnels de l’IT luttent de plus en plus contre les incidents de sécurité et n’ont pas le temps de se former ou encore de travailler sur la planification ou la stratégie. Il n’est donc pas surprenant que seulement 17% des organisations interrogées dans notre enquête aient déclaré prendre le temps de prioriser leurs interventions correctives en fonction de leurs besoins.

 

Comment aller aussi vite que la transformation numérique

La sécurité est souvent vite perdue dans le buzz (et la vitesse) de la transformation numérique. Si d’un côté, de plus en plus de piratages de données de grande ampleur sont révélés, de l’autre, de nouvelles réglementations avec des conséquences et des pénalités élevées apparaissent également. C’est pourquoi les organisations doivent commencer à consolider la sécurité de leurs technologies en automatisant le processus de gestion des vulnérabilités et en améliorant les compétences de leur personnel pour garantir le succès à long terme.

Comprendre les faiblesses de vos ensembles technologiques

Les tests de sécurité constituent la première étape pour établir une vue d’ensemble de vos faiblesses. Il est important de tester de manière proactive vos réseaux, vos infrastructures Cloud, vos applications et données connexes ainsi que vos accès utilisateur. Les tests d’intrusion sont un excellent moyen d’avoir un aperçu de l’exposition aux risques de cyber-attaque sur l’ensemble des actifs d’une organisation, ainsi que d’exposer les menaces systèmes qui pourraient bien passer inaperçus. Notre étude a révélé que parmi les organisations qui avaient fait appel aux services de pentesters, 46% avaient découvert des problèmes critiques qui auraient pu mettre leur entreprise en danger.

Automatisez et orchestrez vos processus de sécurité

Une fois la base de référence établie, utilisez des tests automatisés pour compléter les tests d’intrusion manuels afin d’assurer une surveillance continue. À une époque où la cybercriminalité sévit particulièrement, fini le temps où les entreprises pouvaient se permettre d’appliquer des patchs une seule ou deux fois par an. De plus, la plupart des attaques exploitent les vulnérabilités connues qui auraient pu être évitées grâce à de simples correctifs connus. À mesure que la surface d’attaque s’élargit, les responsables de la sécurité doivent orchestrer leurs efforts de remédiation en fonction des niveaux de risque afin de hiérarchiser la charge de travail et de maximiser l’efficacité.

Evitez les tests de sécurité sans intervention ultérieure

Malheureusement, les tests de sécurité se terminent souvent par la livraison du rapport sans que les organisations en récoltent tous les avantages. En effet, les mesures correctives devraient être prises le plus rapidement possible après le test. Par ailleurs, les tests d’intrusion sont parfois effectués pour une mauvaise raison ; pour la conformité et non pour la sécurité. Faire un test n’est pas une preuve du niveau de sécurité car de nombreuses organisations ne parviennent pas à appliquer les correctifs recommandés.

Pour maximiser la valeur de l’investissement des tests d’intrusion, il est impératif de changer la façon dont vous travaillez avec les fournisseurs de tests ainsi que la mise en place des projets. Vous obtiendrez une énorme différence. Nous avons connu un franc succès en offrant à nos clients un support poussé avec nos experts sécurité après chaque test. Cela permet aux organisations de disposer de plus de temps pour des conseils et des vérifications de patchs et de remédiation, qui sont extrêmement utiles pour guider les organisations les moins averties en matière de sécurité tout au long du processus.

Il est essentiel que les organisations prennent le temps de comprendre le risque potentiel que peut avoir une vulnérabilité sur leur environnement et d’aborder les résultats d’un point de vue commercial et technique. En engageant les pentesters après le test, la direction aura également une meilleure compréhension des risques et sera en mesure de prendre de meilleures décisions sur la stratégie de remédiation ; et l’équipe de sécurité aura une meilleure idée des différentes solutions disponibles pour résoudre les problèmes de sécurité.

 

Les tests de sécurité sont l’une des clés pour appréhender votre exposition aux risques. Pour en savoir plus sur notre enquête, téléchargez le rapport complet. Vous souhaitez effectuer un pentest sur votre infrastructure? Notre équipe d’experts est disponible pour vous aider à découvrir vos faiblesses et réduire votre exposition aux risques.

Leave a Reply

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.