Connaître sa surface d’attaque n’est pas suffisant ! HackerOne, le leader mondial du hacking éthique, dévoile aujourd’hui le rapport The 2022 Attack Resistance, qui révèle que les organisations sont confrontées au « déficit de résistance aux attaques » (Attack Resistance Gap). Il s’agit d’un écart important entre ce que les organisations doivent protéger et ce qu’elles sont réellement capables de protéger. Près d’un tiers (27 %) des responsables IT français manquent de confiance dans leur capacité à combler leurs lacunes en matière de sécurité, selon une enquête HackerOne.
Tribune – Le rapport s’appuie sur les résultats d’une enquête réalisée auprès de 800 organisations en France, au Royaume-Uni, en Allemagne et en Amérique du Nord, qui montre que la France est le pays ayant le score de confiance le plus faible dans sa résistance aux cyberattaques (59 %), en dessous du score de confiance moyen qui s’établit à 63 %. Il examine quatre domaines essentiels permettant aux organisations d’évaluer et d’améliorer leur résistance aux cyberattaques :
- La compréhension de la surface d’attaque.
- La cadence des tests par rapport aux cycles de lancement des applications.
- Le type et la fréquence des tests de sécurité.
- La disponibilité de talents techniques capables de bien mener ces tâches.
En mesurant le niveau de confiance des organisations sur l’ensemble de ces quatre domaines, il apparaît que la France est le pays qui a le score de confiance le plus faible dans sa résistance aux cyberattaques (59 %), en dessous du score de confiance moyen qui s’établit à 63 %.
D’autres chiffres marquants de l’enquête :
- 27 % des organisations françaises manquent de confiance dans leur capacité à réduire leur déficit de résistance aux attaques – un pourcentage plus élevé que dans les autres pays sondés
- 60 % des organisations interrogées avouent qu’un quart de leur surface d’attaque est inconnue ou non observable. En France, 12% des responsables interrogés estiment que plus de la moitié de leur surface d’attaque est inconnue ou non observable.
- Les organisations françaises sont également celles qui scannent le moins fréquemment leur surface d’attaque – 29 % des responsables IT français interrogés scannent leur surface d’attaque une fois par mois ou encore moins souvent
- 58 % des responsables IT français peinent à trouver des collaborateurs qui maîtrisent la complexité des environnements cloud, et 63 % révèlent que le manque de profils techniques à l’embauche les pousse à externaliser leur sécurité
- 39 % des organisations françaises réalisent moins de 100 tests de pénétration par an – également un pourcentage plus élevé que dans les autres pays sondés
- Se mettre en conformité avec le RGPD est la principale raison d’utiliser des outils de gestion de surface d’attaque pour 50 % des responsables IT français interrogés
“La prise de conscience réduit le risque. Seules les organisations qui mesurent leur déficit de résistance aux attaques sont armées pour le réduire“, a déclaré Marten Mickos, PDG de HackerOne. “Nous avons mené cette enquête pour illustrer le phénomène et donner des pistes d’amélioration. Les organisations qui élargissent le cadre de leurs tests, et qui le font de manière continue peuvent combler ce déficit de résistance aux attaques.“
Note : L’enquête menée par HackerOne a interrogé plus de 800 responsables informatiques d’entreprises chargés des achats de sécurité, dans des organisations américaines et européennes. Elle vise à comprendre l’impact de l’évolution des paysages applicatifs sur les surfaces d’attaque des entreprises et à aider ces dernières à combler le fossé de sécurité entre ce qu’elles possèdent et ce qu’elles peuvent protéger.