Cybersécurité : derrière l’essor du couple EDR-MFA, ce que perçoit le CESIN

Un élan EDR en France ? Ainsi avions-nous réagi, début 2022, à une publication du CESIN. En l’occurrence, son 7^e baromètre de la cybersécurité des entreprises.

On avait notamment demandé à ces dernières quels dispositifs elles avaient renforcés face à la vague de cyberattaques dominée par les ransomwares. Et, d’une manière plus générale, quelles solutions de protection elles avaient mises en place.

Sur l’un et l’autre point, l’option « EDR » se distinguait ; avec une progression sans égale, de près de 20 points sur un an. Le MFA faisait aussi une percée notable.

Le couple EDR-MFA s’affirme un peu plus dans la 8^e édition du baromètre CESIN. Tous deux atteignent un taux de déploiement de 81 %. Plus que toutes autres solutions. En particulier le VPN, qui connaît un recul important (-13 points, à 77 %).

« Je ne sais pas tout à fait comment il faut interpréter cette baisse », confie Mylène Jarossay. « Il faudra qu’on creuse ce point techniquement, poursuit la présidente du CESIN. Je ne pense pas que les VPN aient été démontés pour le moment. » L’intéressée y voit plutôt une conséquence du couple SaaS + télétravail : à domicile, les employés ne repasseraient pas par le réseau de l’entreprise.

« On s’est rendu compte, pendant le Covid, que les trois quarts des gens allaient bien vers le réseau de l’entreprise, mais la première chose qu’ils faisaient, c’était de ressortir pour consommer leurs applications sur le cloud », ajoute Alain Bouillé, délégué général du CESIN.

Près de 15 solutions déployées en moyenne

L’an dernier, le nombre moyen de solutions/services déployés dans les entreprises s’élevait à 10,4. Cette année, on est passé à 14,9.

« On voit aussi une augmentation du NDR, le pendant du network qui détecte principalement la latéralisation des attaques, fait remarquer Mylène Jarossay. Les SOAR sont aussi de plus en plus mentionnés. Cela montre le côté réactivité sur lequel la plupart des entreprises comptent désormais pour leur défense. »

La présidente du CESIN note aussi un équilibrage avec la protection amont : « L’aval du dispositif est peut-être un peu moins négligé qu’il ne l’a été. » Elle en veut pour preuve l’augmentation de la sécurisation des backups.

Threat intelligence et pentests : l’externalisation l’emporte

L’an dernier, ils étaient 23 % à affirmer disposer d’un SOC externalisé chez un MSSP. Et 24 % à expliquer avoir un SOC hybride. Les taux augmentent nettement cette année : 36 % d’externalisation intégrale et 32 % d’externalisation partielle.

Pour les pentests et le renseignement sur les menaces, la balance penche en faveur de l’externalisation intégrale. Au contraire, la gestion des vulnérabilités et les EDR restent gérés essentiellement en interne. Les ratios ne sont toutefois pas négligeables, assure Mylène Jarossay. Et d’ajouter : « On voit se flouter la frontière entre le produit et le service ».

L’externalisation, de manière générale, implique aussi des risques de sécurité. Quand on leur demande quels ont été les vecteurs des attaques qui les ont impactées sur les 12 derniers mois, les entreprises sont 24 % à évoquer des offensives indirectes par rebond via un prestataire. Elles étaient 21 % l’an dernier et 16 % il y a deux ans.

La formation des admins, un sujet « préoccupant »

Au global, 45 % des entreprises estiment avoir subi au moins une attaque significative sur les 12 derniers mois. C’est 9 points de moins que dans la 7^e vague du baromètre ; et 17 points de moins que dans la 6^e. Le taux d’attaques par ransomware baisse aussi (14 % ; -4 points), corroborant, entre autres, les statistiques de l’ANSSI.

Plus préoccupante est la première cause de ces attaques : les négligences ou les erreurs de manipulation/configuration d’administrateurs internes ou de salariés. 38 % des entreprises la mentionnent (+5 points). Soit davantage que les vulnérabilités résiduelles permanentes (37 % ; -3 points) et le shadow IT (35 % ; +3 points).

« Autant [ces deux derniers éléments] peuvent être des sortes de fatalités, autant on se dit ‘Comment se fait-il que nos informaticiens ne sont toujours pas au fait ?’ », regrette Alain Bouillé.
« Ce non-respect des fondamentaux reste problématique, clame Mylène Jarossay. Autant pour les salariés, on va parler de sensibilisation. Autant pour les administrateurs, il s’agirait plutôt de formation. Cette partie-là mérite encore d’y consacrer un peu de moyens. »

En matière de sensibilisation, on aura noté que plus de la moitié des entreprises répondantes ont désormais un programme d’entraînement à la crise cyber. Plus précisément 51 % (+7 points vs 2022 ; +18 vs 2021).
Quant à être proactifs, en revanche, les utilisateurs ont encore de la marge. Les entreprises sont toujours moins de 20 % à déclarer que ces derniers prennent des précautions au-delà des recommandations.

Une entreprise sur deux n’a pas intégré le SASE

D’une année à l’autre, l’écart se creuse entre l’adoption du zero-trust et celle du SASE. Concernant le premier, les entreprises sont 12 % à se dire « déjà très engagées » (+6 points). Et 31 % à expliquer avoir commencé à mettre en œuvre des briques (+7 points). Sur le deuxième, les taux tombent à 5 % (+2 points) et 16 % (+6 points).

Mylène Jarossay tempère le constat des chiffres. « On a une terminologie derrière laquelle il y a un certain nombre de concepts. Nos répondants ont-ils complètement intégré toutes les briques qu’il y a derrière ? Certaines personnes font peut-être une partie des briques SASE sans le nommer. »

Assurance cyber : une entreprise sur cinq ne compte pas souscrire

Parmi les indicateurs en baisse d’une année sur l’autre, il y a le taux d’entreprises déclarant avoir souscrit une cyber-assurance. Elles sont 67 % (-2 points). En parallèle, la proportion de celles que ne comptent pas souscrire augmente (+4 points, à 20 %).

Sur l’échantillon « possède une assurance cyber ou projette d’en posséder une », 24 % y ont effectivement fait appel (-3 points). Les entreprises sont surtout plus nombreuses (14 % ; +2 points) à signalé que « ça a été compliqué ». À l’inverse, elles ne sont plus que 10 % (-5 points) à juger que « cela s’est bien passé ».

« Le taux d’indécis augmente un peu, reconnaît Mylène Jarossay. C’est assez naturel puisque les contours de ce qui est assurable ou pas, de la preuve à apporter, etc. ne sont pas encore tout à fait bien clarifiés. »

Illustration principale via Pixabay