Face à des cybermenaces qui ne semblent pas prêtes de se tarir, les responsables de la cybersécurité continuent à se heurter peu ou prou aux mêmes difficultés que les années précédentes, malgré des budgets majoritairement en hausse. Parmi les causes de cette stagnation figure le manque d'alignement des dirigeants et conseils d'administration sur les sujets cyber, l'un des enseignements qui ressort d'une étude mondiale réalisée pour le compte de Palo Alto Networks auprès de 1300 professionnels chargés de la cybersécurité.
Les répondants témoignent de la persistance d'un niveau de menace élevé, notamment en France, où 79% d'entre eux ont subi trois attaques ou plus au cours de l'année passée (contre 57% au niveau global). Face à cela, les budgets cyber augmentent (90% des répondants, dont 22% avec des hausses de plus de 10%), mais des progrès importants restent à faire : un quart seulement des répondants considèrent que leur organisation possède un haut niveau de résilience et de maturité en matière de cybersécurité. Les répondants européens redoutent en particulier les attaques par la sypply chain logicielle, celles faisant appel à la compromission d'emails et les dénis de services distribués (DDoS). Parmi leurs défis, ils pointent notamment la complexité des périmètres à protéger, la pénurie de ressources et la difficulté des solutions de sécurité à suivre l'évolution des stacks technologiques.
Gouvernance et sécurité du cloud
Dans un tel contexte, les professionnels interrogés déplorent une prise en compte du risque cyber encore insuffisante au niveau des instances de direction. Même si les conseils d'administration se penchent sur le sujet au moins une fois par trimestre dans la majorité des cas (89% au niveau global, 93% en France), environ six répondants sur dix (62% au niveau global, 57% en France) pensent que la reconnaissance de ce risque n'a pas réellement augmenté, alors même que les projets de transformation numérique ne ralentissent pas.
Près de quatre sondés sur dix (37%) estiment même que le manque d'alignement du Comex et du conseil d'administration pour faire de la cybersécurité une priorité est l'un de leurs trois principaux défis, tandis qu'un tiers d'entre eux font face à des enjeux liés à une gouvernance inadaptée. Une autre problématique classique, l'empilement des solutions de sécurité, est illustré en deux chiffres : en moyenne, les organisations interrogées travaillent avec plus de 13 fournisseurs différents dans ce domaine, pour plus de 31 outils déployés (des chiffres qui grimpent à près de 16 fournisseurs et 37 solutions pour l'Europe). Rien d'étonnant alors à ce qu'une majorité d'entreprises (77%) aspirent à réduire ce nombre. Enfin, la sécurité du cloud est également évoquée dans l'étude, avec trois grandes préoccupations en tête de liste : les vulnérabilités introduites par inadvertance par les développeurs dans le code (citées par 36%), le temps de détection des menaces et la prévention (34%) et la gestion des identités et des accès à privilèges (34%).
L'adoption d'une approche Zero Trust apparaît comme l'une des réponses possibles, notamment face à l'expansion de l'écosystème de fournisseurs (pour 52% des sondés), à la sophistication accrue des attaques (49%) et au travail hybride (47%). Mais la quasi-totalité des décideurs interrogés (98%) considère l'adoption même du Zero Trust comme un défi. La faute à une expertise interne jugée insuffisante, à des incertitudes sur comment et où démarrer et à un manque de solutions intégrées sur le marché.
Concernant les enjeux liés au cloud, l'adoption de DevSecOps ne semble pas gagnée, la sécurité restant perçue comme un aspect qui ralentit la chaîne DevOps par 74% des sondés (et même 84% en France). Ce point souligne l'importance d'une meilleure gouvernance et d'une priorisation des sujets cyber, comme les répondants l'ont précédemment pointé. Parmi les autres pistes, l'automatisation et l'intelligence artificielles intéressent également les répondants. Si à l'échelle mondiale, près de la moitié des décideurs (49%) voient l'IA comme un levier pour détecter plus efficacement les menaces, la perception est encore meilleure en France, où ce chiffre atteint 56%. Concernant l'automatisation, quatre répondants sur dix (39%) estiment que la détection des menaces, le tri des alertes et la réponse aux incidents peuvent être presque entièrement automatisés dans les SOC (security operations centers).