Cette étude internationale révèle que 84 % (80 % en France) des entreprises ont connu un incident lié à la sécurité des identités au cours des 18 derniers mois. Trois quarts des équipes de sécurité ne parviendront pas à protéger les identités à privilèges faute de disposer du soutien nécessaire. Alors que la sécurité des identités constitue une priorité pour les professionnels, 63 % (74 % en France) d’entre eux estiment qu’elle est mal comprise par leur direction
Delinea, leader des solutions de gestion des accès à privilèges (PAM, Privileged Access Management) pour une sécurité continue, annonce les résultats d’une enquête internationale réalisée auprès de 2100 décideurs dans le domaine de la sécurité informatique. Selon cette étude, 60 % des participants pensent que leur stratégie globale en matière de sécurité ne suit pas le rythme d’évolution du paysage des menaces, estimant qu’ils sont à la traîne (20 %), font du surplace (13 %) ou s’efforcent simplement de ne pas se laisser distancer (27 %). Menée dans une vingtaine de pays, l’enquête porte sur les attitudes envers la sécurité des identités et la protection des identités à privilèges.
L’étude met également en lumière les différences entre l’efficacité perçue et réelle des stratégies de sécurité. Tandis que 40 % des participants à l’enquête considèrent avoir mis en place la bonne stratégie, 84 % des entreprises indiquent avoir connu un incident lié à la sécurité des identités ou une attaque par vol d’identifiants au cours des 18 derniers mois.
Par rapport à d’autres pays, les répondants français semblent plus confiants dans leur stratégie de sécurité, puisque 51 % déclarent adapter continuellement leurs solutions de sécurité pour couvrir les nouvelles menaces, 23% s’efforcent de ne pas se laisser distancer et 14 % estiment qu’ils sont à la traîne. Dans le même temps, 80% déclarent que leur entreprise a souffert de ces attaques et considèrent que les trois pires conséquences ont été : la perte de données sensibles, la perte d’activité et l’indisponibilité.
Aspect prometteur, de nombreuses entreprises sont avides de changement, en particulier lorsqu’il s’agit de la protection des identités. De fait, 90 % des participants à l’enquête jugent leur entreprise pleinement consciente de l’importance de la sécurité des identités pour leur permettre d’atteindre leurs objectifs métier, alors que 87 % en font l’une des priorités majeures dans le domaine de la sécurité pour les 12 mois à venir.
Cependant, trois quarts (75 %) des professionnels informatiques et de la sécurité craignent également de ne pas parvenir à protéger les identités à privilèges faute de disposer du soutien nécessaire. La raison tient dans une large mesure à un budget insuffisant et à un déphasage des dirigeants : 63 % (70 % en France) des participants à l’enquête estiment que la direction de leur entreprise ne saisit pas encore totalement l’importance de la sécurité des identités et son rôle dans l’optimisation des opérations.
« Même si l’importance de la sécurité des identités est reconnue par les dirigeants de l’entreprise, la plupart des équipes de sécurité ne reçoivent pas le soutien ni le budget nécessaire à la mise en place de mesures et de solutions essentielles dans ce domaine pour atténuer les risques majeurs », commente Joseph Carson, Chief Security Scientist et RSSI consultatif chez Delinea. « Cela signifie que la majorité des entreprises vont continuer d’échouer à protéger les privilèges, se rendant ainsi vulnérables face à des cybercriminels qui cherchent à découvrir des comptes à privilèges afin d’en tirer profit. »
Pour 41% des décideurs informatiques en France, la protection contre les violations de données est le facteur le plus important dans les décisions relatives à la sécurisation des identités. Celle-ci sert à la protection contre les attaques de ransomware (38 %), contre les attaques malveillantes contre les infrastructures (44 %), à se conformer à la réglementation (36 %).
L’étude révèle qu’en dépit de leurs bonnes intentions, les entreprises ont encore beaucoup de chemin à parcourir pour assurer la protection de leurs identités et accès à privilèges. Moins de la moitié de celles ayant répondu à l’enquête ont mis en place des règles et procédures de sécurité au quotidien pour la gestion des accès à privilèges, notamment le renouvellement des mots de passe ou approbations, les contrôles de sécurité en fonction de l’horaire ou du contexte ou encore la surveillance des activités à privilèges (enregistrement et audit, par exemple). Un autre aspect encore plus préoccupant est que plus de la moitié (52 % au global et 53 % en France) des participants à l’enquête autorisent des utilisateurs privilégiés à accéder à des systèmes et données sensibles sans exiger une authentification multifacteur (MFA).
L’étude fait apparaître une autre négligence dangereuse. Les identités à privilèges ne concernent pas seulement des êtres humains, par exemple des administrateurs de domaine ou locaux, mais aussi des comptes de services ou d’applications ou bien d’autres types de machines qui accèdent automatiquement à des informations soumises à privilèges. Or, seules 44 % des entreprises gèrent et sécurisent les identités des machines, tandis que la majorité d’entre elles les laissent exposées et vulnérables à une attaque. En France, les mesures de sécurité des accès à privilèges sont déployées pour les identités des utilisateurs (74 %) et pour les Identités d’application (52 %).
Joseph Carson ajoute : « Les cybercriminels s’efforcent de trouver le maillon faible. Le fait de négliger les identités “non humaines” en particulier lorsque celles-ci se multiplient plus vite que les utilisateurs humains – accroît fortement le risque d’attaques contre les identités à privilèges. Lorsque des cyberattaquants ciblent des identités de machines ou d’applications, ils peuvent facilement se dissimuler et se déplacer à l’intérieur du réseau afin de déterminer le meilleur endroit où frapper pour causer un maximum de dommages. Les entreprises doivent donc veiller à inclure les identités de machines dans leur stratégie de sécurité et à observer les meilleures pratiques pour la protection de l’ensemble de leurs comptes de “superutilisateurs” qui, en cas de piratage, pourraient conduire à paralyser la totalité des opérations. »