BLOG

Les habitudes de sécurité des personnes très confiantes

Miniature de Lori MacVittie
Lori MacVittie
Publié le 13 mars 2017

Aperçu de l'état de la distribution des application en 2017

Les dirigeants et les professionnels de la sécurité sont tous pragmatiques, du moins en ce qui concerne leur niveau de confiance dans leur capacité à résister aux attaques de la couche application .

Il est intéressant de noter qu’aucun des deux groupes ne semble pessimiste quant à ses chances de repousser de telles attaques. Seuls 5 % de chaque groupe dans notre enquête sur l'état de la distribution des application n'avaient aucune confiance dans la capacité de leur organisation à résister à une attaque au niveau de la couche applicative. Mais cela ne signifie pas non plus qu’ils sont optimistes quant à leurs chances. Seuls 10 % des professionnels de la sécurité et 13 % des cadres dirigeants étaient convaincus de pouvoir lutter contre les méchants et gagner au jeu de la sécurité des applications.

dirigeants-vs-confiance-en-sécurité

En fait, leurs opinions se situaient bien plus entre les deux, là où réside le pragmatisme (le réalisme).

Quarante pour cent (40 %) des professionnels de la sécurité étaient indécis, ni plus ni moins confiants. Un pourcentage similaire de dirigeants (37 %) étaient du même avis. Ce qui semble être une position raisonnable à adopter de nos jours. Vous pouvez être sûr de pouvoir résister à ce que vous savez, en ce moment, être là-bas. Mais c’est le problème avec la sécurité : l’inconnu est sur le point de devenir une menace.

Alors qu’est-ce qui fait que ces 10 % environ de professionnels et de cadres de la sécurité ont tellement confiance dans la posture de sécurité de leur organisation ? Que savent-ils que d’autres ne savent peut-être pas ?

services déployés par confidence soad17

Pour le savoir, j’ai commencé à décortiquer les données. Nous avons mentionné dans le rapport complet qu'il semble que le déploiement d'un pare-feu application Web et, dans une moindre mesure, d'une protection DDoS, ont contribué aux niveaux de confiance des répondants en ce qui concerne la résistance aux attaques de la couche application . Mais bien sûr, ce ne sont pas les deux seuls services de sécurité disponibles ; nous en suivons huit en ce moment.

Il semblerait donc raisonnable de supposer que d’autres services d’applications de sécurité pourraient avoir un impact sur la confiance que les gens ont dans la posture de sécurité de leur organisation. Un examen rapide des données a montré que cela pourrait bien être le cas.

Pour chacun des huit services de sécurité que nous suivons, nous avons constaté un pourcentage plus élevé de services déployés par ceux qui ont la plus grande confiance. La différence dans l’état de déploiement en fonction du niveau de confiance de chaque service était généralement spectaculaire. En moyenne, les répondants ayant le moins confiance avaient un statut de déploiement global des services de sécurité des applications inférieur de 24 %. Moins de services de sécurité, moins de confiance. Coïncidence? Je ne pense pas.

Mais ce n’est pas seulement le déploiement de services de sécurité qui peut contribuer positivement (ou négativement) à la confiance des utilisateurs dans leur capacité à résister à une attaque au niveau de la couche applicative. La manière dont vous utilisez ces services d’application pour sécuriser les applications est également importante.

protection de surface par confiance soad17

Chaque année, nous demandons aux gens comment ils protègent les applications. Nous identifions trois surfaces d’attaque principales nécessitant une protection : le client, la demande et la réponse. C'est parce que chacun offre un moment unique avec des tactiques de sécurité différentes (et donc des services) pour mieux sécuriser et défendre les applications et leurs précieuses données. Nous demandons aux répondants de décrire avec quelle cohérence ils appliquent les politiques de sécurité à chacune des trois surfaces : toujours, jamais ou parfois. À ce stade, je suis sûr que personne ne sera surpris d’apprendre que les personnes les plus confiantes protègent toujours les trois surfaces. Et inversement, ceux qui ont le plus faible ont tendance à ne jamais protéger aucune des surfaces. 

Évidemment, ce n’est pas le seul facteur qui influe sur le niveau de confiance. Un petit pourcentage de personnes ayant le moins de confiance protègent toujours ces surfaces d’attaque. Et inversement, certains, très confiants, ne protègent jamais ces surfaces. Le fait que les personnes ayant le moins de confiance doivent parfois protéger ces surfaces indique qu'il s'agit d'un facteur contributif, mais certainement pas le seul, sinon il y aurait une corrélation plus élevée entre le fait de ne jamais protéger les surfaces et le plus faible niveau de confiance. 

Pourtant, plus de la moitié des personnes ayant la plus grande confiance protègent toujours le client (60 %), la demande (61 %) et la réponse (57 %).

Coïncidence? Encore une fois, je ne pense pas.

Bien sûr, nous ne pouvons pas établir de relation de cause à effet entre le déploiement et application des services d’applications de sécurité et les niveaux de confiance, mais nous pouvons clairement voir qu’il existe une corrélation entre eux.

Les professionnels de l'informatique les plus confiants dans leur capacité à résister aux attaques de la couche application sont plus susceptibles de déployer des services d'application de sécurité et de protéger de manière proactive les trois surfaces d'attaque que leurs homologues plus pessimistes. Quelque chose à prendre en compte si vous vous sentez un peu « meh » quant à vos chances de vous défendre contre ce que demain pourrait vous apporter.