Découvrez pourquoi votre budget de sécurité cible peut-être les mauvaises menaces

Utilisez-vous vos budgets informatiques intelligemment ?

Si vous dépensez la majeure partie de votre budget sécurité pour votre périmètre réseau au détriment de la sécurité et de la gestion des identités de vos applications, vous devrez peut-être devoir revoir les proportions.

Près de 25 % des entreprises indiquent que les applications sont généralement la source des violations. Pourtant, plus de la moitié des entreprises consacrent 1 % ou moins de leur budget informatique à sécuriser leurs applications. Pire : certaines entreprises ne savent même pas combien elles dépensent.

Près de 25% des entreprises identifient les applications comme la source des violations. Pourtant, plus de la moitié des entreprises (51 %) consacrent 1 % ou moins de leur budget informatique à sécuriser leurs applications. Pire : certaines entreprises ne savent pas combien elles dépensent. Près des trois quarts (74,5 %) des entreprises reconnaissent que les programmes de sécurité de leurs applications ne sont pas suffisamment sophistiqués.

De plus, n’oublions pas les problèmes liés à l’identité des utilisateurs. Selon l’entreprise à laquelle vous vous adressez, les identités compromises représentent la première ou la deuxième source de violations.

74.5%

C’est le pourcentage d’entreprises qui reconnaissent que la sécurité de leurs applis n’est pas suffisamment sophistiquée.

Aussi difficile à croire que cela puisse paraître avec ces chiffres, la plupart des entreprises continuent d’investir la majeure partie de leur budget informatique à protéger leur périmètre réseau. Si vous en faites partie, il est grand temps de vous inquiéter.

 

Votre « périmètre réseau » est en grande partie imaginaire

Du fait de l’augmentation du nombre d’appareils mobiles et de l’explosion du nombre d’applications reposant sur le cloud, votre périmètre est probablement plutôt perméable. En effet, des centaines, voire des milliers, d’utilisateurs vulnérables situés aux quatre coins du monde, accèdent à vos données via une multitude d’applications sur des appareils pour la plupart non protégés. Les applications reposant sur le cloud sont-elles si présentes ? Quatre organisations sur cinq hébergent des applications sur le cloud, et 20 % prévoient d’envoyer plus de la moitié de leurs applications vers cet environnement cette année. D’ici 2018, il y aura plus de 12 milliards d’appareils mobiles utilisés dans le monde entier. Puisque vos applications sont désormais situées n’importe où et que vos utilisateurs s’y connectent à partir de n’importe quel appareil, il est raisonnable d’affirmer que votre périmètre réseau traditionnel vient d’exploser.

N’oublions pas non plus que la gestion des identités et des accès s’avère de plus en plus complexe. Que vos applications soient hébergées sur site, dans votre cloud privé ou public, ou soient des logiciels en tant que service (SaaS), une authentification est toujours nécessaire. En moyenne, une entreprise possède 700 applications en service. Et c’est officiel. Vos utilisateurs sont las de tous ces mots de passe à retenir, et vos services informatiques n’arrivent plus à gérer les accès et la multitude des identités.

Dans la réalité, si des cybercriminels se retrouvent bloqués devant votre réseau, ils vont tout simplement essayer d’hameçonner un utilisateur crédule ou de s’infiltrer au sein d’une application Web vulnérable. Le visage de la sécurité tel que nous le connaissions a changé.

 

Quatre étapes pour repenser votre budget de sécurité informatique

Que pouvez-vous faire ? Suivez ces quatre étapes dans l’ordre indiqué.

 

Étape 1. Donnez priorité à ce que vous devez absolument protéger

Les applications officiellement développées ou déployées par vos services informatiques sont relativement faciles à approuver. Cependant, vérifiez bien les applications logicielles en tant que service (SaaS) qui sont souvent négligées. Ensuite, identifiez tous les applications de Shadow IT qui sont utilisées par vos employés et évaluez leur risque pour votre organisation. Elles ne seront pas faciles à identifier. Vous pouvez interroger vos unités commerciales, analyser les journaux de vos logiciels de filtrage Web et examiner les contrats signés avec vos fournisseurs SaaS, cependant, il s’agit d’un processus très fastidieux. Privilégiez alors les applications que vous pouvez identifier et sécurisez celles qui vous rendent plus vulnérable.

 

Étape 2. Vérifiez si le budget est adapté aux menaces

De quelle manière utilisez-vous vos budgets informatiques ? Votre entreprise fait probablement partie des bons élèves, mais si vos supérieurs se focalisent trop les problèmes de conformité au détriment des vulnérabilités les plus critiques associées aux applications et à la prolifération des identités, commencez à préparer votre argumentaire. Documentez vos découvertes, afin d’être en mesure d’identifier les zones où les dépenses sont trop ou pas assez élevées.

 

Étape 3. Communiquez vos conclusions

Faites connaître vos conclusions à vos supérieurs et au conseil d’administration. Expliquez-leur les écarts qui existent entre les domaines dans lesquels ils dépensent leur argent et les zones qui nécessitent d’être protégées. Faites des recommandations spécifiques et soyez prêt à présenter une analyse coûts/avantages pour les investissements recommandés afin d’obtenir le budget dont vous avez besoin. Vous devrez probablement investir dans des solutions de pare-feu avancées et dans la gestion des identités, des accès et de la sécurité des applications.

 

Étape 4. Mettez en place des mesures de contrôle, et expliquez comment vous gérez les menaces

Documentez et suivez la façon dont vous dépensez les fonds supplémentaires que vous obtenez, puis présentez des rapports étayés au conseil d’administration et à vos supérieurs pour montrer que votre stratégie fonctionne. Cependant, le risque de violation est toujours présent. C’est pourquoi il est conseillé de souscrire une cyberassurance et de signer un contrat honoraire avec une société capable d’intervenir en cas d’incident et de réduire les dommages.

 

Choisissez vos batailles

Évidemment, vous ne pourrez jamais corriger toutes les vulnérabilités de votre liste. Vous déciderez probablement que le coût pour éliminer certains risques dépasse celui de s’en accommoder. Communiquez vos points de vue aux cadres dirigeants et exposez clairement vos plans pour gérer tous les risques, que vous choisissiez ou non de les éliminer. Laissez-les partager les responsabilités en définissant les priorités en termes de dépenses dans ce nouveau monde sans périmètre.