Rapport 2024 sur l'état de la cybersécurité

Point d'inflexion

La cybersécurité reçoit enfin l'attention qu'elle mérite, mais des défis majeurs subsistent, qu'il s'agisse de réduire la prolifération des technologies ou d'éliminer les silos de données. Sans un meilleur alignement entre DSI et Sécurité des systèmes d'information, ces défis pourront difficilement être relevés.

Télécharger le résumé exécutif

Introduction

Commençons par une bonne nouvelle : la dernière étude d'Ivanti (menée auprès de plus de 7 000 dirigeants, professionnels de la cybersécurité et collaborateurs de bureau) révèle que la cybersécurité est très souvent considérée comme une priorité de premier plan, même au niveau des conseils d'administration. 

  • 73 % des dirigeants et professionnels IT/de sécurité déclarent que les budgets de sécurité augmentent. 
  • 87 % disent que le budget de cybersécurité 2024 de l'entreprise est suffisant pour atteindre les objectifs. De plus, les investissements concernent toute une série de domaines établis et émergents, de la sécurité du Cloud et des données à la détection des menaces d'identité, en passant par l'IA générative.   
  • 91 % disent que la cybersécurité est considérée comme une question stratégique majeure dans leur entreprise.

D'autre part, la préparation à la sécurité s'améliore globalement. 57 % déclarent être mieux préparés à lutter contre les attaques de cybersécurité qu'il y a un an. 



Autre signe positif : les recherches menées par Ivanti révèlent que les dirigeants s'intéressent de plus en plus aux résultats obtenus par leur entreprise en matière de cybersécurité. Une très forte majorité (80 %) des entreprises interrogées déclarent que leur conseil d'administration comprend au moins un expert en sécurité, et 86 % disent que la cybersécurité est un sujet de discussion au sein du conseil d'administration. 

Cette attention revêt une importance capitale, car elle caractérise la cybersécurité non seulement comme un risque technologique, mais aussi comme un risque majeur pour l'entreprise. Par conséquent, la cybersécurité devient une question stratégique, à l'instar de sujets tels que le changement des outils de la supply chain, l'approbation des acquisitions ou la pénétration de nouveaux marchés.  

Un récent rapport publié dans la revue MIT Sloan Management Review souligne cette évolution : « Du fait de leur complexité et de leur constante évolution, les risques de cybersécurité étroitement liés aux risques commerciaux exigent l'attention ciblée d'au moins un membre du conseil d'administration possédant une connaissance et une expérience approfondies des technologies et de l'entreprise. » 

L'attention du conseil d'administration revêt une importance capitale, car elle caractérise la cybersécurité non seulement comme un risque technologique, mais aussi comme un risque majeur pour l'entreprise. 

En dépit de tous ces indicateurs positifs sur l'adhésion des dirigeants et du conseil d'administration, nous nous sommes interrogés sur l'étendue réelle de ce soutien.  

Nous avons interrogé des dirigeants et des professionnels IT/de sécurité afin d'évaluer le niveau de compréhension des concepts clés de la cybersécurité par les dirigeants. En effet, une compréhension nuancée des termes clés peut être un indicateur (voir un indice précurseur) de l'adhésion des dirigeants.   

Moins de la moitié des répondants déclarent que leurs dirigeants ont une compréhension avancée de termes tels que la gestion des vulnérabilités (45 %) et le Zero Trust (44 %). Pour les entreprises dont le programme de cybersécurité est moins mature, seulement 24-26 % des dirigeants comprennent ces concepts, selon les réponses des personnes interrogées. (L'échelle de maturité de la cybersécurité est présentée à la section 3.)

L'étude d'Ivanti souligne également un point de friction constant (et coûteux) : le manque d'alignement entre le DSI (ou CIO) et le DSSI (ou CISO)... et il ne s'agit pas d'un simple problème de leadership.  

72 % des professionnels interrogés disent que les données IT et sécurité sont gérées en silos dans leur entreprise. De plus, 41 % déplorent une collaboration difficile entre les équipes IT et Sécurité dans la gestion de la cybersécurité.  

Les données mettent en évidence que la persistance à long terme des silos de données et de technologies systémiques accroît les risques et entrave la transformation de l'entreprise. 



La persistance à long terme des silos de données et de technologies systémiques accroît les risques et entrave la transformation de l'entreprise. Près des deux tiers (63 %) des professionnels IT et de sécurité constatent que les silos de données entraînent des retards dans les réponses aux incidents de sécurité, tandis que 54 % affirment que ces silos compromettent la posture de sécurité de leur entreprise.  

Les silos de données ont aussi une autre conséquence : les investissements en IA et en automatisation peuvent échouer en raison du manque d'accessibilité et de visibilité des données. 

Pour s'entraîner et fonctionner, les solutions d'IA avancées nécessitent de gros volumes de données de très haute qualité. Toutefois, quand les données et les technologies sont fortement cloisonnées, comme c'est le cas pour l'IT et la Sécurité dans de nombreuses entreprises, les applications IA de nouvelle génération sont condamnées d'avance. Tout retard dans l'exploitation de l'IA peut alors avoir des conséquences à long  terme sur la posture de sécurité de l'entreprise et sa position commerciale. 

Tant que ces barrières technologiques et culturelles ne seront pas tombées, la cybersécurité ne pourra pas endosser ce rôle de partenaire stratégique de la direction. 

Quand les données et les technologies sont fortement cloisonnées, comme c'est le cas pour l'IT et la Sécurité dans de nombreuses entreprises, les investissements en IA sont condamnés d'avance.​



 

01

Cyber-IA

Jusqu'à présent, les entreprises ont manqué de vision et de cohérence dans leur approche de l'IA. La plupart admettent que l'IA peut constituer une menace pour leur entreprise, et elles sont encore plus nombreuses à reconnaître qu'elles n'ont aucune stratégie face aux menaces liées à l'IA. Il est temps de changer cela !  

Les progrès de l'IA donnent potentiellement plus de moyens aux équipes de cybersécurité, mais cela profite aussi aux pirates qui disposent de plus de moyens pour les désarmer. 

Intéressons-nous d'abord, à l'aspect positif. La cyber-IA peut protéger les organisations de diverses manières : 

  • Détection des menaces, et réaction plus rapide et mieux adaptée aux attaques.
  • Identification de schémas et de tendances afin de prédire proactivement les attaques avant qu'elles ne se produisent.  
  • Consolidation des connaissances de sources multiples pour acquérir une compréhension plus globale du paysage des menaces, synthétiser les réponses et prioriser les prochaines actions.  
  • Automatisation des tâches pour plus de rapidité et de précision, notamment pour isoler les périphériques infectés, écrire du code robuste ou planifier les cycles d'application des correctifs. 

Mais la cyber-IA peut aussi créer des risques supplémentaires pour l'entreprise. Par exemple, de nombreuses organisations font appel à l'IA et à l'automatisation pour gérer les tâches répétitives et réduire la charge de travail. Mais ces changements doivent être mis en oeuvre avec une attention particulière, car ils peuvent engendrer un excès de confiance, en raison d'un faux sentiment de sécurité ou d'une diminution de la vigilance.  

Les acteurs malveillants peuvent alors tirer parti de la puissance et de la portée de l'IA pour atteindre leurs objectifs néfastes : 

  • Déploiement de l'automatisation pour rapidement identifier les vulnérabilités, analyser les réseaux et lancer des attaques. 
  • Utilisation de l'ingénierie sociale basée sur l'IA pour créer des e-mails d'hameçonnage bien plus convaincants et personnalisés. 
  • Création de malwares qui échappent à la détection en imitant le comportement réseau normal. 
  • Démocratisation du piratage via l'apprentissage par IA (de puissants algorithmes sont placés entre les mains de pirates peu expérimentés et peu doués). 
  • Piratage de systèmes d'IA via des prises de contrôle hostiles, ce qui revient pratiquement à retourner l'IA contre l'entreprise pour laquelle elle est censée travailler. 

Malgré ces risques, les professionnels IT et de sécurité sont globalement optimistes concernant l'impact de l'IA sur la sécurité. Près de la moitié (46 %) pensent que c'est un avantage net, et 44 % de plus pensent que son impact sera « neutre » (ni positif ni négatif).  



Optimisme mis à part, nous voulions connaître les types d'attaques basées sur l'IA que les professionnels IT et de sécurité considèrent comme les plus dangereux. Parmi les plus dangereux, ils citent les réseaux antagonistes génératifs, l'usurpation d'identité et la falsification.  

Les fournisseurs tiers peuvent aussi représenter un vecteur de risque élevé quand on parle d'attaque par IA, et notre enquête montre que plus de la moitié (53 %) des entreprises interrogées n'ont pas audité les fournisseurs tiers concernant les risques liés à l'IA générative



Malgré l'importance du danger, près d'une entreprise sur 3 n'a aucune stratégie documentée pour contrer les risques liés à l'IA générative. 

Il n'existe pas de recette universelle pour lutter contre les menaces induites par l'IA.  Même si par le passé, la formation était la première ligne de défense contre les attaques par hameçonnage, seulement 32 % des personnes interrogées estiment que la formation est « très efficace » pour se protéger contre les attaques par ingénierie sociale basées sur l'IA, comme les deepfakes. (Notre enquête auprès des collaborateurs de bureau montre que 54 % d'entre eux ne savaient pas que l'IA avancée peut désormais contrefaire la voix de quelqu'un.)  

La vitesse à laquelle l'IA générative bouleverse le paysage de la sécurité signifie que toute méthode qui repose essentiellement sur une détection humaine va forcément échouer. 

Les organisations doivent intégrer une approche combinée alliant la sensibilisation et la formation des collaborateurs à l'hypervigilance des outils de sécurité basés sur l'IA. Tomas Chamorro-Premuzic, Chief Innovation Officer pour le groupe Manpower, donne un conseil similaire dans le Harvard Business Review : « Pour protéger les entreprises des attaques, il ne s'agit pas de choisir entre intelligence humaine et intelligence artificielle. Il faut mettre en place une culture capable de tirer parti à la fois des innovations technologiques et de l'expertise humaine, en espérant être moins vulnérable que les autres. »   



En adoptant une approche multicouche des menaces liées à l'IA, les entreprises seront en mesure d'optimiser à la fois la gouvernance de leurs opérations et leurs tactiques de défense basées sur les technologies. Cela comprend :

Gouvernance et supervision pour contrer la cyber-IA 

  • Embauche d'experts en IA.
  • Évaluation des risques et de la conformité des fournisseurs.
  • Adoption d'une stratégie et de recommandations pour l'utilisation de l'IA générative.
  • Mise en place et/ou redéfinition des pratiques de gouvernance des données.

Tactiques de défense et barrières pour contrer la cyber-IA 

  • Amélioration de l'accès aux données et de leur visibilité.
  • Renforcement de la collaboration. 
  • Réduction de la multiplication des outils/licences. 

02

BYOD

Les équipes Sécurité affirment savoir quand des collaborateurs utilisent leurs périphériques personnels au travail, une pratique appelée le BYOD (Bring Your Own Device). Les recherches réalisées par Ivanti suggèrent le contraire.

Notre étude révèle en effet que le taux de BYOD est élevé, qu'il soit autorisé ou non. 

D'après les experts IT et de sécurité, le BYOD est pratiqué dans 84 % des entreprises au monde, alors que seulement 52 % des entreprises l'autorisent. Parmi celles qui ne l'autorisent pas, cette pratique reste assez courante ; 78 % disent que les collaborateurs utilisent leurs périphériques personnels au travail, même si c'est interdit. 

Le fait d'autoriser (ou de tolérer) le BYOD ne garantit pas toujours une gestion et un suivi appropriés. En réalité, parmi les entreprises qui autorisent explicitement le BYOD (ou choisissent de fermer les yeux), plus d'un tiers ne surveillent pas cette pratique ou ne sont pas certaines de le faire. Et ce, alors même qu'une majorité reconnaît que les risques liés au BYOD sont modérés ou élevés.  



Les collaborateurs de bureau confirment que cela touche presque tout le monde. 81 % des collaborateurs de bureau admettent utiliser des périphériques personnels (de divers types) pour travailler. Parmi eux, la moitié se connectent aux réseaux et aux logiciels professionnels depuis leurs périphériques personnels. Et 40 % révèlent que leur employeur n'est pas au courant de ces activités.  

Les collaborateurs déclarent utiliser leurs propres périphériques principalement parce qu'ils préfèrent l'expérience utilisateur et la fiabilité qu'ils offrent, et parce que leurs employeurs ne leur fournissent pas de téléphone mobile. 



De nombreuses entreprises font le choix conscient d'autoriser le BYOD, en acceptant un certain niveau de risque supplémentaire en échange d'une plus grande visibilité et d'un meilleur contrôle sur les périphériques personnels qui accèdent au réseau. Aux États-Unis, certaines agences fédérales autorisent les collaborateurs à apporter leurs propres périphériques dans des circonstances limitées et spécifiques. Quant au National Institute of Standards and Technology (NIST), il a publié en 2016 un document de recommandations et de meilleures pratiques pour le BYOD intitulé « User's Guide to Telework and Bring Your Own Device Security ». 




Une part significative du problème réside dans le fait que de nombreuses équipes IT et de cybersécurité ne disposent actuellement d'aucun moyen efficace pour faire le suivi et gérer les périphériques personnels des collaborateurs au travail. Seulement, 63 % sont capables d'effectuer un suivi du BYOD en plus des actifs IT de l'entreprise

La réticence des employeurs à autoriser le BYOD est compréhensible, car cela ne ferait qu'augmenter le Shadow BYOD. La solution consiste à améliorer la visibilité et à mieux contrôler le BYOD, afin de minimiser les risques qui lui sont associés.

En utilisant une solution de gestion unifiée des terminaux (UEM) qui comprend des fonctions de gestion des périphériques personnels des collaborateurs, les entreprises peuvent prendre différentes mesures, comme exiger des mots de passe forts, définir des protocoles d'accès aux systèmes (le niveau d'accès minimal nécessaire par exemple), imposer des logiciels de gestion des données, forcer les mises à jour et, dans le pire des cas, recourir à des fonctions de verrouillage et de purge. Les solutions UEM permettant à l'employeur de partitionner le téléphone ou l'ordinateur portable d'un collaborateur en vue de séparer les données personnelles des données professionnelles, ce type de purge n'affecte que les données professionnelles, et non les données personnelles.  

03

2024 et au-delà

Comment favoriser la performance du département de cybersécurité en créant des conditions propices ? Quelles étapes spécifiques les RSSI doivent-ils suivre pour se préparer au futur de la cybersécurité ?

Nous avons interrogé des personnes travaillant dans le domaine de la cybersécurité et leur avons demandé d'évaluer le niveau de préparation de leur entreprise en matière de cybersécurité, du niveau de base (Niveau 1) au niveau le plus élevé (Niveau 4), en vue d'élaborer une échelle de maturité de la cybersécurité.  

Nous avons ensuite comparé ces groupes (voir ci-dessous) pour en savoir plus sur les pratiques et comportements des entreprises de niveau 4 (les plus avancées parmi toutes les entreprises interrogées dans notre étude).  



Qu'avons-nous appris ?  

Les entreprises avancées (Niveau 4) bénéficient d'un soutien exceptionnel des dirigeants. 80 % disent que leurs dirigeants soutiennent totalement les mesures de sécurité et s'y investissent, soit plus de 2 fois le taux constaté dans les entreprises moins matures.  

Les dirigeants des entreprises de niveau 4 comprennent les concepts clés de la sécurité, notamment des sujets complexes comme la gestion des vulnérabilités et le Zero Trust. En fait, ils sont 2,5 fois plus susceptibles de comprendre ce vocabulaire que ceux des entreprises de niveau 2, ce qui signifie qu'ils sont impliqués, informés‌ et sensibilisés.  

Les RSSI des entreprises avancées sont directement subordonnés au PDG dans 51 % des cas tandis que 40 % sont rattachés au PDG. En dehors de ces deux catégories, les RSSI sont généralement subordonnés au DSI. Bien qu'il n'y ait pas de recette miracle en matière de structure hiérarchique, la différence est notable, car elle démontre que les RSSI ont bien plus souvent un siège à la table des dirigeants au sein des organisations avancées. Ils sont d'ailleurs plus susceptibles d'être consultés lors des discussions sur la stratégie de l'entreprise et la tolérance aux risques. 

Les entreprises avancées ont examiné et identifié les risques au sein de leur chaîne logicielle. En effet, 73 % des entreprises de niveau 4 affirment avoir identifié les systèmes/composants tiers les plus vulnérables de leur chaîne logicielle (ceux ayant le plus d'impact sur l'entreprise en cas d'attaque), soit près de 3 fois le pourcentage observé dans les entreprises moins matures. 



Les entreprises les plus avancées ont élaboré une stratégie d'IA bien définie, visant non seulement à gérer les menaces associées, mais aussi pour à en faire un atout. Même si elles sont plus enclines que les autres à s'inquiéter de l'impact négatif de l'IA, 61 % d'entre elles perçoivent également l'IA comme un avantage significatif pour la sécurité, contre 28 % des entreprises de niveau 2. 

80 % des entreprises de niveau 4 disent posséder une stratégie documentée pour traiter les vulnérabilités et risques liés à l'IA générative (contre 48 % des entreprises de niveau 2). Par ailleurs, les entreprises de niveau 4 ont mis en place davantage de couches de protection pour se prémunir des menaces basées sur l'IA, autant en matière de gestion des terminaux, que de détection et d'élimination des menaces mobiles, ou de formation à la lutte contre l'hameçonnage.



Quelles sont les difficultés auxquelles font face TOUTES les entreprises (même celles de niveau 4) ?

Le BYOD invisible non géré reste un problème même pour les entreprises avancées. Même si les entreprises de niveau 4 sont plus enclines à autoriser et à gérer le BYOD que les autres entreprises que nous avons interrogées, les résultats ne sont pas exceptionnels. Près d'une entreprise avancée sur 5 indique que le BYOD n'est pas autorisé, mais demeure toléré. De plus, 25 % affirment qu'elles ne sont pas en mesure de faire actuellement le suivi du BYOD ni de le gérer. 

Le cloisonnement des données entre la Sécurité et l'IT représente un défi récurrent pour toutes les entreprises. 71 % des entreprises avancées disent que leurs données de sécurité et IT sont en silos, soit 8 points de plus que dans les entreprises de niveau 2. En outre, 58 % des entreprises de niveau 4 reconnaissent que ces silos entraînent des retards dans la réponse aux incidents de sécurité. Les silos de données constituent un problème universel pour les RSSI et les DSI. La rapide expansion des investissements en IA rend la situation encore plus complexe, car elle exige une totale intégration et accessibilité des données.  

Éliminer les silos de données et obtenir une vision complète du paysage des risques de l'entreprise représente non seulement un défi technique, mais également un défi de leadership.

Nous pensons que les prochaines évolutions en matière de cybersécurité nécessiteront une collaboration renforcée entre les DSI et les RSSI, afin de capitaliser sur les dernières avancées technologiques et de créer un lieu de travail plus sécurisé.  

Combler le fossé entre DSI et RSSI, tel est notre mantra pour 2025, tout en adoptant une approche plus cohérente de la cybersécurité. Cela implique les actions suivantes : 

  1. Aligner les points de vue et les actions des DSI et des RSSI concernant les mesures de sécurité.  
  2. Éliminer les silos de données qui augmentent les temps de réponse, dissimulent les informations cruciales et freinent l'innovation née de l'IA.  
  3. Réduire le nombre d'outils technologiques utilisés par les équipes IT et Sécurité, dans l'objectif constant d'obtenir une vision plus exhaustive de la sécurité de l'entreprise. 
  4. Implémenter une infrastructure, des services et des solutions IT hautes performances qui concilient les intérêts des DSI et des RSSI.  

Et si nous parlions logiciels ?

Ivanti élimine les barrières entre l'IT et la sécurité pour permettre à l'Everywhere Work de prospérer.

Demandez une démo personnalisée pour voir nos produits en action.

À propos de cette étude

Ivanti a interrogé plus de 7 300 dirigeants, professionnels de la cybersécurité et collaborateurs de bureau en octobre 2023. Notre objectif : comprendre les menaces actuelles les plus pressantes en matière de cybersécurité, ainsi que les tendances émergentes, les opportunités et les stratégies d'entreprise. ​

Dans le cadre de cette étude, nous avons élaboré une échelle de maturité de la cybersécurité. La collecte d'informations par autoévaluation présente des limites, car les individus peuvent être de parti pris lorsqu'ils évaluent leurs propres efforts ; cependant, nous pensons que les résultats basés sur ce modèle de maturité fournissent des indicateurs utiles au domaine de la cybersécurité. Nous demandons à nos lecteurs de garder à l'esprit ces limites.​

Cette étude a été administrée par Ravn Research et les panélistes ont été recrutés par MSI Advanced Customer Insights. Les résultats de l'enquête ne sont pas pondérés. Des détails supplémentaires par pays sont disponibles sur demande.

Partager l'article
 

Merci!

Télécharger le résumé exécutif Télécharger

Téléchargez le résumé exécutif

Obtenez les principales conclusions et les résultats de l'enquête, tableaux et graphiques y compris, dans un format de type présentation