Stratégie

Détecter et contenir un incident de sécurité prend en moyenne 7 jours

33 % d’entreprises seulement parviennent à contenir un incident en 60 minutes.

Une étude CrowdStrike / Vanson Bourne auprès de professionnels de la cybersécurité estime à 162 heures le délai moyen entre la détection et le confinement d'un incident de sécurité.

PublicitéDes délais de réponse aux incidents les plus courts possible sont une nécessité pour limiter l'impact des cybermenaces sur les systèmes d'information, les données et in fine les activités des entreprises. Pourtant, selon l'étude mondiale « Global Security Attitude Survey 2019 » de CrowdStrike, les entreprises confrontées à un incident de sécurité informatique mettent près de 7 jours en moyenne pour y remédier. La durée totale du processus, incluant la détection, le triage, l'investigation et le confinement de l'incident, atteint en effet 162 heures, dont 31 simplement pour contenir l'incident.

80% des professionnels interrogés se sont retrouvés dans l'incapacité d'empêcher des attaquants ayant pénétré leur réseau d'accéder à des données ciblées au cours des 12 derniers mois. En cause, des délais de détection trop longs dans 44% des cas, qui résultent eux-mêmes de plusieurs facteurs : capacité technologique des réseaux cybercriminels, qui ont toujours « un coup d'avance », présence de systèmes legacy difficiles à maintenir et à mettre à jour ou encore ressources insuffisantes en cybersécurité.

5% d'entreprises capables de réagir durant le délai de propagation

Selon l'étude, toute se joue dans une fenêtre critique pour les équipes de cyberdéfense : le breakout time, ou délai de propagation. Ce terme désigne le délai entre l'infection d'une première machine et le moment où la menace se propage via le réseau vers d'autres systèmes (propagation latérale). Pour être en capacité de répondre au plus vite aux incidents, les entreprises les plus avancées en cyberdéfense préconisent une règle en trois temps : 1 minute pour détecter une menace, 10 pour l'investiguer, et 60 pour la contenir et y remédier.

Dans les faits, ce standard semble loin de la réalité d'une majorité d'organisations, 95% des répondants étant dans l'impossibilité de l'appliquer. En effet, seules 11% des entreprises interrogées se disent capables de détecter un intrus en moins d'une minute. 9 % parviennent à investiguer un incident en 10 minutes, et 33 % réussissent à contenir un incident en 60 minutes, ce qui ne laisse au final que 5% d'entreprises combinant les trois critères.

Les attaques récurrentes sur la supply chain ont doublé

L'étude a également interrogé les décideurs IT et cybersécurité sur deux types d'attaques nécessitant une capacité de réaction rapide : les attaques sur la chaîne logistique et celles à visée géopolitique.

Les résultats montrent que le nombre d'entreprises victimes de plusieurs attaques sur leur supply chain a été multiplié par deux en un an, passant de 16 à 34 %, tandis que plus de trois quarts (77%) des répondants indiquent y avoir été confrontés au moins une fois. Par ailleurs, le nombre d'entreprises acceptant de verser une rançon pour reprendre le contrôle de données chiffrées lors d'une attaque lancée contre leur chaîne logistique a quant à lui presque triplé, passant de 14 à 40 %. Selon les conclusions de l'enquête, plus de 50 % des entreprises opérant dans les secteurs de l'agroalimentaire, de l'hôtellerie, des divertissements et des médias ont notamment payé une rançon au cours des 12 derniers mois afin de récupérer des données chiffrées lors d'une attaque de leur chaîne logistique.

PublicitéConcernant les attaques géopolitiques, 83% des sondés s'accordent pour les considérer comme un danger évident pour les entreprises de leur pays. Ils sont 73% à estimer que de telles attaques peuvent survenir en raison de ce qu'ils font ou produisent, 63% à cause de leur secteur d'activité, et 56% pensent que les attaquants peuvent chercher à viser leur équipe dirigeante.