Depuis plusieurs années, les entreprises font face à une équation difficile à résoudre : plus elles investissent dans leur transformation digitale, plus elles augmentent en même temps la surface exposée aux cyberattaques. Une étude de l'éditeur Trend Micro avec Sapio Research s'est penchée sur les défis qui résultent de cette situation, interrogeant plus de 6000 décideurs en matière de cybersécurité dans 29 pays, dont la France.

Comme on pourrait s'y attendre, la majorité des répondants (73%) se dit préoccupée par la taille de leur surface d'attaque digitale. Un tiers (31%) se déclare très concerné et 43% estiment même que celle-ci devient hors de contrôle. Pour décrire leur surface d'attaque, les termes les plus fréquemment choisis par les répondants sont « en constante évolution et désordonnée », cités par 37%. Le principal défi pour les équipes de sécurité IT réside donc dans le caractère hors de contrôle de cette surface, la moitié seulement (51%) des répondants indiquant avoir complètement délimité celle-ci. Au niveau mondial, près des deux tiers des sondés (62%) admettent avoir des zones d'ombre sur la sécurité de leur surface d'attaque (49% en France). En moyenne, les répondants estiment d'ailleurs n'avoir de visibilité que sur 62% de celle-ci. Parmi les zones où la visibilité pêche, le cloud figure en bonne place, cité par 37% des organisations. Viennent ensuite les réseaux, mentionnés par 34%, puis les équipements des utilisateurs (29%).

Des défis multiples face à un risque en évolution permanente

Les entreprises à dimension internationale sont également plus touchées par ces difficultés. Près des deux tiers (65%) des répondants considèrent ainsi le fait d'être présent à l'échelle mondiale comme un facteur ajoutant de la complexité à la gestion de leur surface d'attaque. Pourtant, pratiquement un quart (24%) continue malgré tout de cartographier sa surface d'attaque de façon manuelle et 29% se contentent de le faire à l'échelle régionale.

Les répondants expliquent les difficultés rencontrées pour gérer les cyber-risques par plusieurs raisons : 38% disent que le risque est simplement difficile à quantifier, un tiers (33%) indique ne pas avoir les ressources nécessaires et un autre tiers (32%) pointe la visibilité limitée. Enfin, 30% estiment avoir trop d'outils et 27% recevoir trop d'alertes. La gouvernance semble également insuffisante face aux défis. Moins de la moitié des organisations interrogées (45%) affirme ainsi avoir un processus bien structuré pour évaluer les risques. Par ailleurs, plus d'un tiers (35%) confie réévaluer son exposition au risque seulement une fois par mois ou moins, un petit quart seulement le faisant de façon quotidienne (23%). Dans ce contexte, les répondants placent en tête de leurs défis le fait de se maintenir à jour face au changement constant, cité par 39%.