Stratégie

Mylène Jarossay (CESIN) : « la gestion des vulnérabilités et de l'application des correctifs s'avère difficile à maîtriser »

Mylène Jarossay (CESIN) : « la gestion des vulnérabilités et de l'application des correctifs s'avère difficile à maîtriser »
La présidente du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), Mylène Jarossay, a commenté les résultats des « Instantanés du CESIN ».

Le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN) a publié les résultats d'enquêtes hebdomadaires auprès de ses membres.

PublicitéDepuis plusieurs mois, le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN) pose une fois par semaine une question en ligne, durant 24 heures, à ses membres, tous RSSI. Baptisées « Les instantanés du CESIN », ces questions permettent une « prise de température » sur des sujets du moment en matière de sécurité informatique. A ce jour, le CESIN compte plus de six cents membres RSSI issus de tous les secteurs, publics et privés, notamment du CAC 40 et du SBF 120. Sur ces plus de 600, environ 220 en moyenne ont répondu aux questions posées (le nombre variant de 166 à 265 selon les items). Le CESIN vient de diffuser le bilan de ces « Instantanés », commenté par Mylène Jarossay, présidente du CESIN.

Cette manière de procéder facilite l'identification des difficultés rencontrées par les RSSI en mode anonyme. Ainsi, par exemple, Mylène Jarossay constate : « la gestion des vulnérabilités et de l'application des correctifs s'avère difficile à maîtriser ». Ce constat est lié au quinzième Instantané. Moins de 9 % des répondants maîtrisent en effet le processus de patching, 55 % considérant que le processus est globalement maîtrisé mais mérite d'être amélioré, 28 % que le processus n'est pas sous contrôle et près de 8 % que le processus n'est pas du tout maîtrisé. Mylène Jarossay juge que la gestion des plans de patching est devenue très complexe, (notamment avec le développement du BYOD, des objets connectés, du cloud...) et que la fixation des priorités n'est pas simple. Les solutions technologiques de gestion des correctifs, qui proposent pourtant des déploiements multi-plateformes et un bilan des opérations, pourraient ne pas être suffisantes.

Des attitudes visant à la protection effective prudente

La première question posée dans le cadre des Instantanés était relative aux ransomwares. L'immense majorité des membres du CESIN refuse de régler la rançon exigée : 47,5 % dans tous les cas, 44,5 % sauf dans des cas exceptionnels critiques. Aucun ne veut systématiquement payer. La justification est simple : ne pas encourager ce banditisme en asséchant ses revenus. 6,7 % préfèrent recourir à un tiers négociateur et 1 % selon le montant en regard du blocage subi.

Curieusement, l'approche Zero Trust, grande tendance actuelle, n'est pas complètement plébiscitée parmi les membres du CESIN. 6,3 % des répondants se déclarent très engagés et 15,5 % ont commencé à mettre en oeuvre cette approche, 30 % étudient ce que cette approche entraînerait. 34 % ne s'intéressent pas encore vraiment à cette approche et 13 % jugent que le concept est purement marketing.

Les outils externes à l'entreprise loin d'être effectivement interdits

Concernant les outils externes à l'entreprise, les RSSI semblent finalement moins rigides que ce que l'on pourrait croire. On peut le vérifier sur deux sujets polémiques très sensibles pour les collaborateurs : le BYOD et le stockage en ligne. Ainsi, le BYOD est largement répandu dans l'entreprise pour 11 % des répondants, admis mais encadré dans 28 % des cas. Certes, l'interdiction domine : une interdiction de principe avec quelques exceptions tolérées dans près de 23 % des cas, le COPE admis et le BYOD interdit pour 31 % et une interdiction globale du BYOD et du COPE dans seulement 6,5 %. Concernant le stockage en ligne dans le cloud, l'interdiction sans outil de contrôle concerne 31 % des répondants et l'interdiction avec contrôle 40 %. L'accès est admis avec supervision et recours à des outils de DLP dans 11 % des cas, l'accès sans restriction ni contrôle 16 %.

PublicitéSi le sentiment général est un accroissement des menaces, il est loin d'être suivi par une augmentation généralisée des ressources. Ainsi, les ressources n'ont pas été accrues significativement dans les 12 derniers mois et aucun effort n'est prévu prochainement dans 29 % des cas, l'absence de croissance significative compensée par un prochain effort concerne 25 % des cas, la croissance de la couverture temporelle et géographique sans réelle augmentation de moyens 20 %, la préparation en plus de plans d'actions pour faire face à des effets d'aubaine 9 %. La nette croissance des moyens n'est revendiquée que par 16 % des répondants.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Dans votre organisation, est-il exclu de transférer certaines données dans le cloud public, pour des raisons réglementaires ou par choix ?