Réaction à un incident de cybersécurité : où en est-on

Pour faire face aux attaques informatiques, le degré de réactivité des équipes est essentiel et la formation des employés à la cybersécurité devient une question cruciale. Une étude réalisée par Immersive Labs apporte un aperçu plus approfondi de la capacité de réaction (ou de leur absence) des entreprises face aux cybermenaces. Dans le cadre de cette enquête, les performances des entreprises réalisant des simulations cyber ont été analysées. Soit 1,1 million d'exercices cybersécurité et d’incidents en laboratoires couvrant le personnel technique et les cadres pendant une période de 12 mois allant d'avril 2022 à avril 2023. L'objectif de ce rapport ? Fournir aux dirigeants en sécurité des systèmes d'information des données pour combler les lacunes stratégiques, atténuer les risques et renforcer durablement leur défense face aux menaces informatiques.  

D'après l'étude, il s'avère qu'en moyenne, le temps de réponse des entreprises aux cyberattaques s'est accéléré, glissant de 29 jours en 2021 à 19 en 2022, ce qui peut être attribué à l'urgence des délais de réactions rapides dans le contexte des retombées de la crise Log4j et d'autres vulnérabilités très médiatisées au cours de l'année écoulée. L’amélioration du temps médian des entreprises pour répondre aux menaces en dit long sur l'état général de la cyber-résilience, car un temps de réponse plus rapide signifie une plus petite fenêtre de vulnérabilité et un risque plus faible d'impact négatif sur l'entreprise. La crise Log4j, par exemple, a été un moment clé qui a servi de catalyseur à cette urgence compte tenu de son impact catastrophique. Bien que la découverte initiale de Log4j remonte à décembre 2021, elle continue d'être en tête des classements parmi les utilisateurs de la plate-forme Immersive Labs, car deux des cinq laboratoires CVE les plus fréquemment tentés au cours de l'année dernière étaient liés à Log4j.

Le degré de mobilisation des équipes cyber a progressé de façon notable en un an. (Source : Immersive Labs/Crédit image: Immersive Labs)

Des risques d'exposition après incident

« Les dirigeants doivent s'assurer que leurs équipes - à tous les niveaux d'expérience - se tiennent au courant des menaces émergentes et obtenir la preuve en termes de connaissances, de compétences et de jugement pour répondre rapidement et efficacement aux menaces », a déclaré James Hadley, PDG et fondateur d'Immersive Labs dans cette étude. « Les données de notre rapport soulignent également l'importance cruciale de mener systématiquement des exercices réalistes pour évaluer les lacunes en matière de compétences et les combler avant qu'il ne soit trop tard. Il s’agit tout aussi important, si le pire scénario se produit, de savoir comment gérer au mieux les incidents « après le boom » pour atténuer les retombées », a ajouté le dirigeant.

Les données de recherche d'Immersive Labs ont également révélé l'émergence de plusieurs autres tendances notables. Parmi elles, le fait que les entreprises ne préparent pas suffisamment leurs équipes aux interventions post-incident est notamment pointé du doigt. Alors que les entreprises veillent à ce que les activités de cyber-résilience couvrent le cadre du framework MITRE ATT&CK Immersive a observé un biais notable en faveur des premières étapes du cycle de vie de l'attaque, suggérant que les responsables de la sécurité laissent potentiellement leurs organisations exposées à un risque après un incident.

Immersive Labs note que les équipes de sécurité se concentrent autour des premières étapes du cycle de vie de l'attaque et non pas dans son ensemble. (Source : Immersive Labs/Crédit image : Immersive Labs)

Les cyber spécialistes juniors davantage pointilleux face aux menaces

Autre enseignement : les cyberpros aguerris sont plus confiants sur leurs degrés de compétence que les juniors. Les débutants ont tendance à se mettre au défi avec des exercices plus difficiles et de ce fait sont plus susceptibles de se tenir au courant des nouvelles menaces que les professionnels SSI plus expérimentés. En moyenne, les jeunes cyberspécialistes suivent des formations plus pointues que leurs aînés. Toutefois, pour se préparer efficacement aux cybermenaces, les équipes en cybersécurité, à tous les stades de leur carrière, doivent être préparées aux menaces les plus récentes, recommande Immersive Labs.

L'augmentation du degré de résistance à un incident cybersécurité au niveau mondial dans un contexte de menaces plus sophistiquées fait aussi paries des éléments marquants. Des progrès modestes ont été réalisés en particulier dans certains domaines clé tels que la vérification des compétences des nouveaux talents (46 %) et l'évaluation des capacités des équipes de sécurité dans des scénarios réalistes (30 %).

Soumises aux réglementations, les entreprises des services financiers sont les mieux préparées face aux risques cyber. (Source : Immersive Labs/Crédit image : Immersive Labs) 

Le rapport montre également que les entreprises de services financiers sont les plus aptes à se défendre face aux risques cyber, représentant sept des dix meilleures performances en la matière au niveau global. Et ce même si les industries réglementées ne surpassent que légèrement leurs pairs moins réglementés, avec une différence de 6 %.