Cybersécurité : comment la multiplication des solutions profitent aux attaquants

Cybersécurité

Ce problème est important en termes de coût matériel associé au manque d’unité entre les équipes de sécurité (et leurs fournisseurs) et de coût humain pour les personnes chargées de la sécurité dans l’entreprise.

Les équipes responsables de la sécurité n’ont pas la vie facile, car elles doivent jouer au chat et à la souris, un jeu de plus en plus compliqué.

Un rapport du Forum économique mondial 2021 sur les risques mondiaux, laisse penser que les choses ne vont faire qu’empirer : les mesures de cybersécurité mises en place par les entreprises, les gouvernements et les particuliers étant de plus en plus rendues obsolètes par la sophistication croissante des méthodes des cybercriminels.

Un problème en partie dû au fait que les outils proposés par les fournisseurs sont diffus, chacun couvrant un domaine différent de la cybersécurité. Ce problème est important, à la fois en termes de coût matériel associé au manque d’unité entre les équipes de sécurité (et leurs fournisseurs) et de coût humain pour les personnes chargées de la sécurité dans l’entreprise.

Des coûts matériels liés à des coûts d’intégration élevés

Les responsables de la sécurité doivent traiter avec des fournisseurs couvrant l’intégralité du paysage des menaces pour la sécurité face à un paysage de la menace en constante évolution avec des cybercriminels et des acteurs de la défense qui se démènent pour s’améliorer et atteindre leurs objectifs respectifs.

Dans les entreprises moyennes, ces mêmes fournisseurs intègrent la gestion des identités et travaillent en outre avec plus d’une douzaine d’autres fournisseurs responsables de sous-ensembles spécifiques de la sécurité. Cela implique de recruter des intégrateurs et de maintenir ces liens d’intégration sur un marché technologique déjà tendu.

Selon Connecting Software, sur les 3,69 milliards $ consacrés à l’informatique dans le monde en 2020, 39 % seront dédiés à l’intégration.

Ces fournisseurs doivent également procéder à des mises à jour de leurs produits pour contrer les attaques et s’adapter aux tendances émergentes. Ces changements doivent ensuite être intégrés. En outre, si d’autres produits se connectent à un produit qui est mis à jour, celui-ci doit également être reconfiguré.

Pour une entreprise du Global 2000, le coût financier de ce type de gestion architecturale complexe pourrait s’élever à plusieurs millions de dollars. Plus inquiétant, ce système désintégré fonctionne pour créer quelque chose d’encore plus dommageable : les points d’entrée potentiels pour les cybercriminels.

Un manque de compétences préoccupant

Ce que les discussions sur la sécurité et les problèmes technologiques de ce type n’abordent pas souvent, c’est l’implication des êtres humains qui font fonctionner ces systèmes.

Les équipes de sécurité comptent parmi les plus stressées. Plus de 75 % des RSSI estiment que la pandémie a augmenté le stress lié au travail, et les deux dernières années n’ont guère fait évoluer la situation dans le bon sens.

Ce problème ne touche toutefois pas seulement les RSSI. Les équipes de sécurité sont également sujettes à l’épuisement professionnel et, pire, à des problèmes de santé mentale. En outre, le recrutement et la fidélisation des membres de l’équipe de sécurité deviennent de plus en plus difficiles et coûteux. Une étude récente de Fortinet sur le manque de compétences indique que 60 % des entreprises ont des difficultés à recruter et que 52 % peinent à retenir les employés qualifiés.

Si ces problèmes ne sont pas traités, ils peuvent mener au stress, à l’épuisement et à la fatigue. De surcroît, cela peut engendrer d’autres problèmes de sécurité qui passent à travers les mailles du filet. La multiplicité des fournisseurs de services de sécurité s’accompagne de multiples sources de responsabilité, ce qui accroît considérablement les vulnérabilités.

Un manque d’unité qui profite aux cybercriminels

Même les entreprises qui peuvent se permettre des coûts d’intégration récurrents, qui sont en mesure de minimiser le stress des équipes de sécurité et de maintenir des niveaux élevés de rétention, doivent s’assurer que leurs équipes sont soutenues de manière appropriée.
Tous ces paramètres constituent une source de préoccupation pour les grandes entreprises.

Le fait de ne pas recruter de nouveaux talents, de ne pas intégrer et de ne pas garantir la sécurité des points d’entrée peut entraîner des pertes importantes, tant sur le plan financier que sur celui de l’image.

Les entreprises doivent réduire de manière significative la complexité des systèmes technologiques, en unifiant par exemple la gestion de l’identité. Mais la réponse n’est pas purement technique. Les services RH doivent favoriser une culture qui encourage les RSSI et les équipes de sécurité à demander de l’aide.


Auteur
En savoir plus 
OneIdentity
Mark Logan est PDG de OneIdentity
En savoir plus 

Livres blancs A la Une