La plupart des incidents sont liés à des risques déjà connus des organisations
Les entreprises peinent à remédier aux vulnérabilités qu’elles ont identifiées, avec le risque que les pirates ne soient plus rapides à les exploiter, selon une enquête de ZEST. Pour répondre à la situation, elles priorisent les tickets en fonction de l’effort, automatisent en partie la remédiation et déploient des contrôles de nature à atténuer le risque.
Dans 62% des cas, les incidents sont dûs à des risques déjà recensés par les organisations, selon une enquête du spécialiste ZEST auprès de 150 décideurs cyber aux Etats-Unis. En clair, quand l’incident survient, l’équipe de sécurité a déjà identifié le problème et ouvert un ticket. La faute notamment à un nombre de tickets élevé dépassant les moyens humains: 87% des responsables sondés ont un arrièré de plus de 100 tickets de sécurité critiques. La faute aussi à des problèmes qui ne peuvent tout simplement pas être résolus et que les organisations finissent par tolérer.
L’enquête de ZEST montre par ailleurs que les entreprises prennent beaucoup de temps à remédier aux vulnérabilités identifiées, alors qu’en face les pirates sont bien plus rapides à en profiter. Ainsi, selon la moitié des sondés, il faut plus de 3 semaines pour corriger une mauvaise configuration en production et plus de 6 semaines pour remédier à la vulnérabilité d’une application en production (MTTR). Le délai d’exploitation de la vulnérabilité par des hackers serait quant à lui passé de 32 jours il y a un an à 5 jours aujourd’hui, selon Mandiant.
Si la remédiation prend du temps, c’est qu’elles sont compliquées, notamment quand elles concernent les containers et les applications, ainsi que les configurations cloud. Il faut par ailleurs comprendre et décider de la meilleure voie à suivre, entre correctif, changement dans le code et contrôle destiné à atténuer le danger. Sans oublier les risques pour lesquels il n’y a pas de solution, ainsi que le temps et les efforts des autres départmenets qu’il faut solliciter.
Face à ces difficultés, les entreprises développent plusieurs stratégies et remodèlent leurs processus. D’abord elles cherchent à réduire l’arriéré de tickets en optimisant leurs efforts, en donnant typiquement la priorité aux changements traitant un grand nombre de risques. Ensuite elles cherchent à automatiser les tâches de remédiation (triage et analyse des causes profondes, identification du lieu et de l’owner de la correction, hiérarchisation). Enfin, elles déploient des contrôles peremettant d’atténuer le risque lié à la vulnérabilité, en tirant par exemple parti des services natifs du cloud et de conttrôles existantrs, comme les pare-feu applicatifs.
