Etude : Les objectifs divergents entre équipes de sécurité et de production rendent les entreprises vulnérables

0
83

La nouvelle étude publiée aujourd’hui par Tanium et réalisée par Forrester Consulting[1] montre que les objectifs divergents  entre les équipes informatiques de sécurité et de production entraînent une plus grande vulnérabilité des entreprises face aux menaces, bien que les investissements en matière de sécurité IT augmentent.

  • Deux tiers (67 %) des entreprises considèrent que la collaboration entre les équipes de sécurité et de production constitue un défi majeur
  • Les objectifs divergents entre ces deux équipes nuisent au respect des principes élémentaires d’hygiène IT ; cette problématique peut même retarder le déploiement de correctifs de près de 2 semaines
  • Une confiance injustifiée règne chez les responsables informatiques : en effet 80 % d’entre eux sont certains d’être en mesure de réagir aux résultats des tests de vulnérabilités alors que moins de la moitié (49 %) sont certains de disposer d’une visibilité complète sur l’ensemble des actifs matériels et logiciels de leur environnement IT
  • 71 % des entreprises ont du mal à avoir une visibilité de bout en bout sur leurs terminaux (serveurs, postes de travail, VM, conteneurs, etc.)

Tribune Tanium – Selon l’étude menée auprès de plus de 400 responsables informatiques de grandes comptes, 67 % des entreprises considèrent la collaboration entre leurs équipes de sécurité et de production comme une problématique majeure, ce qui nuit à la relation entre les services et expose les entreprises aux vulnérabilités. Ainsi, plus de 40 % des entreprises concernées considèrent le maintien d’une hygiène IT comme un challenge, contre seulement 32 % des entreprises dont les équipes collaborent efficacement. Cette problématique a pour conséquence de retarder l’application de correctifs de près de deux semaines (37 jours ouvrés contre 27,8).

L’étude montre également que d’investir davantage dans des solutions informatiques n’engendre pas une meilleure visibilité des postes de travail et serveurs, et entraîne une confiance injustifiée quant à la précision des données dans le cadre de la gestion des terminaux.

Une hausse des investissements sans effet sur la visibilité

Ces dernières années, les entreprises ont considérablement investi dans des outils de sécurité et de gestion de la production. En outre, les dirigeants font désormais preuve d’un intérêt croissant pour les questions de cybersécurité. Ainsi, 81 % des répondants sont convaincus que leur direction s’intéresse davantage aux problématiques de sécurité, de production informatique et de conformité qu’il y a 2 ans.

Les entreprises ayant augmenté leurs budgets informatiques ont constaté une hausse considérable des investissements dans les outils de sécurité (18,3 %) et de gestion de la production (10,9 %). Les équipes dédiées se sont procuré en moyenne 5 nouveaux outils au cours des 2 dernières années. 

Une confiance injustifiée qui rend les entreprises vulnérables

Malgré cette hausse des investissements, les entreprises font preuve d’une sérénité injustifiée quant à leur capacité à protéger leur environnement des menaces. Ainsi, 80 % des répondants s’estiment capables de réagir instantanément aux résultats de leurs tests de vulnérabilités, et 89 % affirment pouvoir signaler une faille en 72 heures. Paradoxalement, seule une personne sur deux (51 %) pense avoir une visibilité complète sur les risques et vulnérabilités, et moins de la moitié (49 %) estiment avoir une visibilité sur l’ensemble des actifs matériels et logiciels de leur environnement.

L’enquête montre également que 71 % des personnes interrogées ont du mal à avoir une bonne visibilité de bout en bout sur les terminaux et leur intégrité, ce qui peut avoir des conséquences néfastes sur le niveau d’hygiène IT comme limiter l’agilité nécessaire à la sécurité de l’entreprise, accroître la vulnérabilité vis-à-vis des cyber-menaces, et nuire à la collaboration entre les équipes.

Les solutions de gestion unifiée permettent aux entreprises d’opérer à grande échelle.

Avec une solution de sécurité et de gestion (un ensemble d’outils destinés aux équipes de sécurité et de production informatique), il est possible de résoudre ces problèmes. En effet, les responsables informatiques interrogés dans le cadre de notre étude estiment qu’une solution unifiée permettrait à leur entreprise d’opérer à grande échelle (59 %), de diminuer leurs vulnérabilités (54 %), et d’améliorer la communication entre leurs équipes de sécurité et de production (5 %).

Selon eux, ils pourraient également se montrer plus réactifs (53 %), accroître le rendement de leurs analyses de sécurité (51 %), mais aussi augmenter leur visibilité grâce à une intégration améliorée de leurs données (49 %) et à des informations précises en temps réel (45 %).

Selon les termes du rapport de Forrester :

« Aujourd’hui, les responsables informatiques sont soumis à des pressions exercées de tous bords. Pour y résister, beaucoup investissent dans un certain nombre de solutions monofonctionnelles. Cependant, ces solutions sont souvent utilisées de façon isolée, ce qui nuit à l’alignement entre les services et ne permet pas aux organisations de bénéficier de la visibilité et du contrôle nécessaires pour protéger leurs environnements… En utilisant une plateforme de gestion unifiée centralisant la gestion des données des différents postes, les entreprises pourraient accélérer leurs processus, renforcer leur sécurité, et encourager la collaboration entre leurs équipes de sécurité et de production informatique. »

[1] Strained Relationships Between Security And IT Ops Teams Leave Businesses At Risk, une enquête publiée en novembre 2019 et réalisée par Forrester Consulting pour le compte de Tanium

Méthodologie

Tanium a commandé une enquête auprès du cabinet d’études de marché indépendant Forrester. Au total, 415 responsables informatiques chargés ou disposant de connaissances en matière de sécurité des terminaux ont été interrogés en septembre 2019 aux États-Unis, au Royaume-Uni et en Australie. Les personnes interrogées représentaient des organisations internationales d’au moins 5 000 salariés et de tous les secteurs.