Des délais de réponse aux incidents les plus courts possible sont une nécessité pour limiter l'impact des cybermenaces sur les systèmes d'information, les données et in fine les activités des entreprises. Pourtant, selon l'étude mondiale « Global Security Attitude Survey 2019 » de CrowdStrike, les entreprises confrontées à un incident de sécurité informatique mettent près de 7 jours en moyenne pour y remédier. La durée totale du processus, incluant la détection, le triage, l'investigation et le confinement de l'incident, atteint en effet 162 heures, dont 31 simplement pour contenir l'incident.

80% des professionnels interrogés se sont retrouvés dans l'incapacité d'empêcher des attaquants ayant pénétré leur réseau d'accéder à des données ciblées au cours des 12 derniers mois. En cause, des délais de détection trop longs dans 44% des cas, qui résultent eux-mêmes de plusieurs facteurs : capacité technologique des réseaux cybercriminels, qui ont toujours « un coup d'avance », présence de systèmes legacy difficiles à maintenir et à mettre à jour ou encore ressources insuffisantes en cybersécurité.

5% d'entreprises capables de réagir durant le délai de propagation

Selon l'étude, toute se joue dans une fenêtre critique pour les équipes de cyberdéfense : le breakout time, ou délai de propagation. Ce terme désigne le délai entre l'infection d'une première machine et le moment où la menace se propage via le réseau vers d'autres systèmes (propagation latérale). Pour être en capacité de répondre au plus vite aux incidents, les entreprises les plus avancées en cyberdéfense préconisent une règle en trois temps : 1 minute pour détecter une menace, 10 pour l'investiguer, et 60 pour la contenir et y remédier.

Dans les faits, ce standard semble loin de la réalité d'une majorité d'organisations, 95% des répondants étant dans l'impossibilité de l'appliquer. En effet, seules 11% des entreprises interrogées se disent capables de détecter un intrus en moins d'une minute. 9 % parviennent à investiguer un incident en 10 minutes, et 33 % réussissent à contenir un incident en 60 minutes, ce qui ne laisse au final que 5% d'entreprises combinant les trois critères.

Les attaques récurrentes sur la supply chain ont doublé

L'étude a également interrogé les décideurs IT et cybersécurité sur deux types d'attaques nécessitant une capacité de réaction rapide : les attaques sur la chaîne logistique et celles à visée géopolitique.

Les résultats montrent que le nombre d'entreprises victimes de plusieurs attaques sur leur supply chain a été multiplié par deux en un an, passant de 16 à 34 %, tandis que plus de trois quarts (77%) des répondants indiquent y avoir été confrontés au moins une fois. Par ailleurs, le nombre d'entreprises acceptant de verser une rançon pour reprendre le contrôle de données chiffrées lors d'une attaque lancée contre leur chaîne logistique a quant à lui presque triplé, passant de 14 à 40 %. Selon les conclusions de l'enquête, plus de 50 % des entreprises opérant dans les secteurs de l'agroalimentaire, de l'hôtellerie, des divertissements et des médias ont notamment payé une rançon au cours des 12 derniers mois afin de récupérer des données chiffrées lors d'une attaque de leur chaîne logistique.