Les entreprises mondiales possédant de multiples filiales sont plus exposées aux menaces de cybersécurité et ont plus de difficultés à gérer les risques que les entreprises n'ayant pas ou moins de filiales. C’est en tout cas ce qui ressort d’un rapport d'Osterman Research commandé par la plateforme d’analyse des réseaux CyCognito. L'étude a porté sur 201 entreprises ayant au moins 10 filiales et au moins 3 000 employés ou 1 milliard de dollars de revenus annuels.

Si elles sont confiantes dans la gestion efficace des risques liés aux filiales, environ 67 % des sondés ont déclaré que leur entreprise avait déjà été victime d'une cyberattaque impactant une filiale, ou qu'elles n'avaient pas la capacité ou les informations nécessaires pour exclure cette possibilité. Environ la moitié des répondants ont reconnu que la menace peut arriver à n'importe quel moment. A noter que les sondés occupaient des fonctions de responsables de la sécurité, de la conformité ou des risques. Chaque société interrogée disposait d'un personnel dédié à la surveillance des risques liés aux filiales.

Être toujours en alerte

« Nous cherchions à comprendre les menaces et les risques auxquels les entreprises étaient confrontées non seulement avec les filiales qu'elles venaient d'acheter ou d'acquérir, mais surtout avec celles qui étaient en place depuis plusieurs années », a déclaré Michael Sampson, analyste principal chez Osterman Research. « Et étant donné que les défis, les risques et les problèmes de cybersécurité changent continuellement, même si vous avez une politique de sécurité apparemment propre un jour donné, elle peut se dégrader au fil du temps à mesure que d’autres vulnérabilités sont découvertes ou mises en évidence ».

S'il existe des actifs et des sources de données exposés dont la filiale n'a pas connaissance ou qu'elle choisit de cacher à la société mère, les vulnérabilités passent inaperçues et deviennent des problèmes critiques par la suite, selon Michael Sampson. L'accent mis sur la conformité au détriment de la sécurité, les processus d'intégration complexes, les processus de gestion des risques peu fréquents et longs, l'utilisation excessive d'outils manuels et le décalage entre les mesures correctives et les résultats ont été soulignés dans le rapport comme les principaux obstacles à la gestion des risques des filiales.

Un axe conformité privilégié au détriment de la sécurité

Selon le rapport, les macro-tendances et l'environnement dans lequel évoluent les entreprises influent sur les réalités opérationnelles en matière de sécurité. Par exemple, la transformation numérique induite par une pandémie et les récentes violations des entreprises tierces (supply chain) très médiatisées à travers le monde ont été désignées par 69% et 56% des répondants, respectivement, comme les préoccupations les plus importantes pour les filiales. « Je pense que nous voyons les entreprises devenir de plus en plus conscientes que la cybersécurité est un enjeu important, et il y a certaines des menaces de cybersécurité qui sont devenues très connues au cours des cinq dernières années », a déclaré M. Sampson. « Le ransomware impactant la supply chain et la compromission des boîtes mail des entreprises figurent en tête de liste ».

Le rapport a souligné que les sociétés se concentrent davantage sur les aspects de conformité de la surveillance des risques liés aux filiales que sur le volet sécurité. Ce qui laisse des lacunes lors de l’intégration et de la gestion des filiales et augmentant de facto la surface d'attaque. L'intégration des filiales est, en soi, une tâche complexe et seuls 5 % des répondants ont confirmé disposer d'un processus mature permettant une intégration transparente des filiales, tandis que d'autres répondants se sont plaints d'être accablés par une énorme charge de travail, tant du côté de la société mère que des filiales de leur entreprise.

Mesurer les risques prend trop de temps

Les processus de gestion de la sécurité des filiales sont trop peu fréquentes, dans le sens où les données collectées sont par nature ponctuelles et ne fournissent donc qu'une vue instantanée, qui devient rapidement obsolète, selon les répondants. En outre, une majorité estime que les processus actuels ne couvrent pas suffisamment la surface d'attaque potentielle de leur organisation, laissant de côté des vulnérabilités et produisant souvent de faux positifs qui exigent beaucoup de temps. Une des préoccupations majeures est le temps qu'il faut pour mesurer les risques associés aux filiales. En moyenne, cela prend actuellement entre une semaine et trois mois pour 54% des organisations, alors que 71% d'entre elles souhaiteraient que ce délai soit réduit à un jour ou moins.

Les répondants à l'enquête ont également souligné le décalage entre la détection d'une faille de sécurité et sa correction. Environ 73 % d'entre elles ont déclaré qu'il fallait compter entre une semaine et un mois. Ce décalage peut représenter une opportunité dangereuse pour une attaque. En outre, le grand nombre d'outils nécessaires à la gestion des risques de sécurité ne fait qu'allonger la durée totale du processus. Selon le rapport, les entreprises disposant d'un large portefeuille de filiales sont 50% plus susceptibles de prendre plus d'un mois pour remédier aux failles de sécurité détectées que celles ayant moins de filiales. Les personnes interrogées dans les sociétés mères comptant 17 filiales ou plus sont presque deux fois plus susceptibles de dire qu'une filiale a été impliquée dans une chaîne de cyberattaques plus d'une fois en comparaison avec les entreprises ayant moins de filiales.

Le passage au cloud a ouvert les vannes

« Le défi de la gestion des risques liés aux filiales provient souvent de l'utilisation des piles technologiques, des processus, des modes de communication et une culture complètement différents de la société mère », a déclaré Rob Gurzeev, CEO et fondateur de la société de cybersécurité CyCognito. « Si je suis le CSO de la société ou même du conglomérat tout entier, je pourrais n'avoir aucune visibilité sur les actifs de ces autres organisations et je n'aurai aucun contexte même si j'apprends l'existence d'un risque quelconque ».

Alors qu'à la fin des années 1990, la gestion des vulnérabilités et les tests de pénétration étaient souvent limités à quelques serveurs d'entreprise connectés à Internet, le passage au cloud au cours des dernières décennies a ouvert les systèmes à des milliers d'ingénieurs, de fournisseurs, de partenaires et de tiers. L'ajout de filiales à une architecture réseau déjà très sollicitée ne fait qu'accroître la surface d'attaque, qui doit être traitée plus efficacement qu'elle ne l'est actuellement, conclut Rob Gurzeev.