Selon le nouveau rapport mondial de CyberArk 2022, les entreprises tricolores ont accéléré leur transformation numérique pour faire face à la crise sanitaire. Or cette multiplication des initiatives numériques a vu le jour sans pour autant s'accompagner par un renforcement de la gestion des identités.
Avec la pandémie, les entreprises se sont livrées à une multiplication des initiatives numériques pour doper leur croissance. Selon le nouveau rapport mondial de CyberArk 2022 Identity Security Threat Landscape qui a sondé 1 750 décideurs, cette tendance se développe aux dépens de la cybersécurité dont les actions ont été relayées au second plan. De quoi creuser la dette de cybersécurité des entreprises liées à l’identité, les exposant à un risque plus grand. Détails.
Une explosion des dépenses numériques
« Ces dernières années, les dépenses liées aux projets de transformation numérique ont explosé afin de répondre aux exigences changeantes des clients et aux besoins des employés », observe Udi Mokady, PDG-fondateur de CyberArk. Et c’est sans compter sur la crise sanitaire qui « a mis de nombreuses entreprises en difficulté de manière soudaine et a créé un besoin immédiat d’adopter rapidement des outils numériques », poursuit Thomas Hélary, responsable France de CyberArk.
Des centaines de milliers d’identités numériques
Résultat, ces nombreuses initiatives se sont traduites par une multiplication des interactions entre les personnes, les applications et les processus, générant des identités numériques par centaines de milliers pour chaque organisation. Comme le confirme le rapport de CyberArk, un employé français moyen possède plus de 30 identités numériques, à l’échelle d’une entreprise tricolore, les identités des machines sont désormais 24 fois plus nombreuses que celles des humains. D’ailleurs, 85 % des personnes interrogées en France stockent des secrets à plusieurs endroits dans les environnements DevOps.
Un déséquilibre avec la cybersécurité
Or, pour CyberArk, ces transformations élargissent la surface d’attaque pour les cyberpirates. « Avec la croissance massive du volume des identités machines et humaines que ces initiatives impliquent, nous pouvons constater en 2022 que cette conversion rapide au numérique s’est faite plus rapidement que les investissements nécessaires pour sécuriser ces initiatives. Cela a considérablement augmenté le risque pour les organisations », déplore Thomas Hélary.
Principal risque, l’accès aux identifiants
Parmi les principaux risques, le rapport cite l’accès aux identifiants (49 %), suivi par la collecte (37 %), l’accès initial (31 %), la découverte (31 %) et l’exfiltration (27 %). En toile de fond, plus de 70 % des organisations françaises interrogées ont subi en moyenne deux attaques par ransomware au cours de l’année écoulée.
Creusement de la dette de cybersécurité
En conséquence, ces récentes initiatives numériques risquent de coûter cher car les mesures de cybersécurité en termes de gestion des accès et des identifiants n’ont pas suivi le rythme de croissance. « La multiplication des identités et le retard pris dans les investissements dans ce domaine – ce que nous appelons la dette de cybersécurité – exposent les organisations à un risque encore plus important, déjà accentué par les menaces posées par les ransomwares et les vulnérabilités de la supply chain logicielle », avertit Udi Mokady.
Priorité aux opérations commerciales
Pour confirmer cette dette, le rapport estime que 69 % des sondés indiquent que leur entreprise a donné la priorité aux opérations commerciales aux dépens de la cybersécurité et seuls 48 % ont mis en place des contrôles de sécurité des identités pour leurs applications critiques.
Réduire la surface des menaces
« Les organisations françaises doivent faire face à cette dette de cybersécurité via des stratégies pour sécuriser l’accès sensible des identités, humaines et non humaines, en appliquant les principes du Zero Trust, afin de réduire la surface des menaces liées à l’identité. De telles politiques sont en cours car la majorité (57 %) des entreprises qui ont demandé un financement du plan national de relance et de résilience de l’UE veulent investir cette aide dans la cybersécurité », précise Thomas Hélary.
Une politique Zero Trust
Parmi les mesures citées par CyberArk, les sondés plébiscitent la promotion de la transparence (81%) avec une meilleure nomenclature des logiciels. 50 % plaident pour une meilleure stratégie de gestion des accès sensibles, notamment avec une politique de Zero Trust, un processus visant à isoler les applications critiques pour l’entreprise des dispositifs connectés en interne.
Ségolène Kahn
Commentez