40 % des principaux décideurs en matière de cybersécurité hiérarchisent efficacement les risques de conformité à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) 4.0, selon Titania.
L’étude souligne que les organisations pétrolières et gazières, de télécommunications et de services bancaires et financiers sont des cibles de choix pour les acteurs de la menace qui exploitent les configurations d’appareils réseau vulnérables pour étendre leurs attaques. Il révèle également que seuls 37 % d’entre eux pouvaient « très efficacement » catégoriser et hiérarchiser les risques de conformité qui compromettent la sécurité de leurs réseaux.
Les erreurs de configuration du réseau ne sont pas détectées dans la plupart des organisations
96 % des entreprises ont déclaré ne pas analyser les commutateurs et les routeurs lors de la vérification des erreurs de configuration et que les vérifications sont généralement effectuées chaque année. Cependant, la plupart ont convenu que l’évaluation continue (quotidienne) des risques de chaque pare-feu, routeur et commutateur est la stratégie la plus robuste pour sécuriser les réseaux et maintenir la conformité.
80 % ont également convenu que leur organisation s’appuie sur la conformité pour assurer la sécurité. Plus précisément, tous les répondants du secteur des services bancaires et financiers sont convaincus qu’ils respectent leurs exigences en matière de sécurité d’entreprise et de conformité externe, par rapport à la plupart des répondants du secteur pétrolier et gazier (98 %) et des télécommunications (96 %).
Ces données montrent un décalage entre la perception de la sécurité et de la conformité du réseau et la réalité.
« Des réseaux complexes, de vastes bases de clients et de longues chaînes d’approvisionnement rendent ces industries très vulnérables aux attaques. L’étude révèle qu’étant donné les approches organisationnelles actuelles de la sécurité des réseaux, les entreprises ne peuvent pas être conformes en permanence et, par conséquent, comportent des niveaux de risque non quantifiés pour la confidentialité, l’intégrité et la disponibilité des systèmes et des données. a déclaré Phil Lewis, PDG de Titania.
« Un attaquant déterminé essaiera une combinaison d’approches pour accéder à un réseau jusqu’à ce qu’il y pénètre, et les vulnérabilités connues ou les erreurs de configuration sont un moyen facile d’y pénétrer. Les entreprises doivent adopter à la fois un état d’esprit zéro confiance et les meilleures pratiques de sécurité réseau, afin de minimiser les attaquer la surface, inhiber les mouvements latéraux et empêcher les intrus d’atteindre leurs objectifs », a poursuivi Lewis.
Défis liés au respect des exigences de sécurité et de conformité
L’étude, qui a demandé comment les organisations détectent et atténuent actuellement les vulnérabilités dans la partie spécifiée du réseau et dans quelle mesure elles sont convaincues que les appareils maintiennent une configuration sécurisée à tout moment, a également révélé :
- 100 % des personnes interrogées ont signalé une catégorisation et une hiérarchisation efficaces des risques de conformité avec leurs outils de sécurité réseau
- 74 % des entreprises pétrolières et gazières, 67 % des entreprises de télécommunications et 67 % des entreprises du secteur bancaire et financier interrogées ont cité l’incapacité à prioriser les mesures correctives en fonction des risques comme un défi majeur pour répondre aux exigences de sécurité et de conformité
- L’augmentation des budgets n’a que peu ou pas d’impact sur le volume d’erreurs de configuration critiques détectées sur les réseaux, avec seulement 3,4 % des budgets informatiques alloués à l’identification et à la résolution des erreurs de configuration
- 45 % ont signalé une réponse et une résolution des risques critiques de sécurité liés à la configuration du réseau dans un délai de 1 à 3 jours
- Les services bancaires et financiers ont signalé les contrôles les plus fréquents parmi les répondants du CNI commercial, avec 62 % dans la catégorie toutes les deux semaines à une fois tous les six mois
- Le secteur du pétrole et du gaz a signalé le plus grand nombre d’erreurs de configuration détectées au cours des 12 derniers mois
- Les télécommunications sont le seul secteur sans automatisation à 100 % des rapports sur la sécurité de la configuration
Les entreprises ont du mal à répondre aux exigences PCI DSS
Le Conseil des normes de sécurité PCI a récemment publié les modifications les plus importantes apportées à sa norme depuis 2004, promouvant une segmentation efficace du réseau, la sécurité en tant que processus continu et une validation améliorée de la conformité pour faire face à l’augmentation des risques que les entreprises commerciales doivent atténuer.
Selon le rapport de Verizon, l’exigence 11 de la norme PCI DSS 4.0, qui oblige les organisations à « tester régulièrement les systèmes et les processus de sécurité », a été l’exigence individuelle la moins performante en matière de conformité durable au cours des 10 dernières années consécutives. Seulement 60 % des organisations sont en mesure de démontrer qu’elles satisfont pleinement à cette exigence.
Ceci est cohérent avec les conclusions de l’étude, qui indique également qu’une « automatisation inexacte » et une « incapacité à hiérarchiser les mesures correctives en fonction du risque » sont les principaux défis à relever pour répondre aux exigences de sécurité de l’entreprise et de conformité externe pour près de la moitié de tous organisations.
Toute l’actualité en temps réel, est sur L’Entrepreneur
