Étude CyberArk : l’IA, le turnover et les pressions économiques élargissent la surface d’attaque des identités

0
189

Le nouveau rapport de CyberArk, spécialiste mondial de la sécurisation des identités, montre comment les tensions qui opposent les conditions économiques difficiles au rythme de l’innovation technologique, avec notamment l’évolution de l’intelligence artificielle (IA), accélèrent l’exposition aux cyber-risques liés aux identités.

Tribune – Intitulée Identity Security Threat Landscape Report 2023, cette étude démontre que le cumul de ces problématiques, ajouté à une hausse du nombre des identités humaines et machines estimée à 210 % en France, risque d’entraîner une hausse de la « dette de cybersécurité » ; soit lorsque les investissements consacrés aux initiatives numériques et cloud dépassent les dépenses de cybersécurité, créant une surface d’attaque des identités grandissante et non sécurisée.

  • 100% des Français interrogés pensent que leur entreprise sera victime d’une compromission liée aux identités en 2023 ;
  • 93 % prévoient une attaque liée à l’IA
  • Et selon deux tiers (67 %), les licenciements et le renouvellement des effectifs vont engendrer de nouveaux problèmes de cybersécurité

Les pressions économiques et l’accélération des initiatives numériques mettent les entreprises en danger

En 2022, les entreprises ont enregistré une hausse de la dette de cybersécurité, les dépenses consacrées à leur sécurité au cours de la crise sanitaire ayant été inférieures aux investissements accordés à leurs initiatives numériques au sens large. En 2023, le niveau de cette dette de cybersécurité risque d’augmenter, tiré par un resserrement économique, un turnover accru des effectifs, un ralentissement des dépenses des ménages, et une conjoncture mondiale incertaine. À l’heure où les investissements en faveur du numérique et du cloud se poursuivent et où les chefs d’entreprise cherchent à accroître leurs performances et à innover, ces facteurs ont des répercussions sur la cybersécurité.

  • La totalité des personnes interrogées en France craignent cette année des compromissions liées aux identités ; en raison des réductions liées à l’économie, des facteurs géopolitiques, ainsi que de l’adoption du cloud et du travail hybride. Pour une majorité d’entre elles (57 %), ces compromissions auront lieu dans le cadre d’une initiative de transformation numérique, qu’il s’agisse de l’adoption du cloud ou de la migration d’applications traditionnelles.
  • Plus de deux tiers (67 %) des entreprises hexagonales s’attendent en 2023 à une hausse de la menace interne, liée notamment à la rotation de leurs effectifs, à d’anciens employés mécontents ou au recours à des identifiants obsolètes mais encore exploitables.
  • Au cours des 12 prochains mois, les entreprises vont déployer 68 % d’outils SaaS de plus que ce dont elles disposent aujourd’hui. Un nombre important d’identités humaines et non-humaines (machines) peuvent accéder à des données confidentielles par le biais d’outils SaaS qui, faute d’être correctement sécurisées, constituent une porte d’entrée potentielle pour les attaquants.

Le paysage des menaces en 2023

Les conclusions de cette nouvelle étude révèlent les domaines de préoccupation à venir en 2023 dans les domaines des identités et de la cybersécurité.

  • 93 % des professionnels de la cybersécurité français sont convaincus que des menaces liées à l’intelligence artificielle affecteront leur entreprise en 2023, les malwares boostés à l’IA pointant en tête des préoccupations.
  • Près de neuf entreprises françaises sur dix (89 % au lieu de 61 % en 2022) ont été victimes d’une attaque par ransomware au cours de l’année écoulée ; 57 % des entreprises françaises touchées déclarent avoir payé deux fois, voire davantage, pour se rétablir entièrement — laissant penser qu’elles ont probablement été victimes d’une campagne de double extorsion.
  • 67 % des entreprises actives dans le secteur de l’énergie, du pétrole et du gaz en France craignent de ne pas être en mesure de neutraliser — ni même de détecter — une attaque provenant de leur supply chain logicielle (contre 59 % pour l’ensemble des entreprises). En outre, la plupart des représentants de ce secteur (69 %) admettent ne pas avoir tenté de remédier à cette situation en améliorant la sécurité au cours des 12 derniers mois.

Élargissement de la surface d’attaque centrée sur les identités

Humaines ou machines, les identités sont au cœur de la quasi-totalité des attaques. En effet, près de la moitié des identités requièrent un accès sensible pour remplir leur rôle, ce qui en fait un vecteur d’attaque de choix. Le rapport de CyberArk indique que certaines zones critiques de l’environnement informatique ne bénéficient pas d’une protection appropriée, et répertorie les types d’identités qui représentent un risque important.

  • Pour 67 % des Français interrogées, l’accès des employés affichant le niveau de sensibilité le plus élevé n’est pas suffisamment sécurisé, et les machines disposant d’un accès sensible sont plus nombreuses que les utilisateurs humains (43 % contre 40 %).
  • L’accès aux identifiants demeure le risque n° 1 pour les répondants français (37 %), suivi par la collecte (35 %), l’escalade des privilèges (33 %), l’accès initial (30 %) et la persistance (29 %).
  • Les applications critiques — par exemple, les applications génératrices de recettes en contact direct avec les clients, les progiciels de gestion intégrés (ERP) et les logiciels de gestion financière — représentent le domaine le plus exposé, dans la mesure où les identités qui y accèdent sont inconnues et non gérées. Seulement 52 % des entreprises ont mis en place des contrôles de sécurité des identités en vue de protéger leurs applications critiques.
  • Les tiers — partenaires, consultants et prestataires de services — représentent le type d’identité humaine qui présente le niveau de risque le plus élevé.
  • Pour 77 % des personnes interrogées, l’automatisation des processus robotiques (RPA) et le déploiement de robots sont ralentis en raison de problèmes de sécurité.

« La volonté des entreprises d’accroître leur efficacité et d’innover en permanence demeure intacte, même lorsque les forces macroéconomiques et les coupes qui touchent les effectifs génèrent des pressions significatives, explique Matt Cohen, directeur général de CyberArk. La transformation des entreprises, tirée par les initiatives numériques et le cloud, favorise la création de nouvelles identités professionnelles. Alors que les attaquants renouvellent en permanence leur capacité d’innovation, la compromission des identités reste le moyen le plus efficace de contourner les cyberdéfenses en vue d’accéder aux données et aux actifs sensibles. Un tel niveau de risque place la question “à qui et à quoi faire confiance ?” au premier rang des efforts visant à empêcher l’aggravation de la dette de cybersécurité en renforçant la cyberrésilience sur le long terme. »

Quelles sont les mesures à prendre ?

  • Alignement sur le Zero Trust — la sécurité des identités est un élément essentiel d’un déploiement Zero Trust robuste. Les français interrogés ont déclaré que la gestion des identités (78 %) et la sécurité des terminaux ainsi que la confiance accordée aux appareils (76 %) sont « critiques » ou « importantes » pour valider le principe Zero Trust.
  • Stratégies de sécurisation des accès sensibles — les entreprises françaises prévoient d’introduire trois mesures pour améliorer la sécurité des identités en 2023 : accès « juste à temps » (JIT), cité par 39 % des répondants ; adoption des principes du moindre privilège pour sécuriser les applications critiques (35 %) ; et activation/désactivation automatique des accès (25 %).
  • Privilégier les partenaires de confiance — dans le domaine de la cybersécurité, plus de la moitié des personnes interrogées (53 %) envisagent de s’appuyer sur des partenaires de confiance pour prévoir et concevoir des solutions leur permettant de neutraliser les cyberrisques en 2023.

 « Le paysage des menaces a connu des changements significatifs au cours de l’année écoulée, dont une croissante de l’IA, analyse Jean-Christophe Vitu, VP Solutions Engineer chez CyberArk. La question est maintenant de savoir comment les organisations françaises envisagent de maîtriser la sécurisation des identités et de réduire la surface d’attaque de ces dernières. L’objectif final est d’arrêter les attaquants avant qu’il ne soit trop tard. Pour ce faire, les entreprises devraient s’épauler de fournisseurs et de partenaires de confiance si nécessaire, pour s’assurer que seules les bonnes personnes ont le bon accès aux bonnes ressources de l’entreprise, en particulier en ce qui concerne les actifs sensibles. »