Le rapport affirme par exemple que, même si 55 % de son panel affirme avoir changé ou fait évoluer la gestion des comptes disposant de privilèges, ces changements ne se traduisent pas forcément par les meilleures pratiques :
- 40 % sauvegardent toujours les mots de passe des comptes administrateurs ou disposant d’autres privilèges dans un document Word ou une feuille de calcul sur un ordinateur de l’entreprise et 28 % se servent d’une clé USB ou d’un serveur qu’ils partagent ;
- 35 % prévoit de mettre sur pieds de nouvelles mesures mais n’ont pas encore amorcé le processus.
79 % du panel a indiqué que leur entreprise a tiré des leçons des publications de brèche dans la sécurité et ont pris des mesures pour améliorer la sécurité : la détection de logiciels malveillants (25 %), la sécurité des terminaux (24 %) et les analyses de sécurité (16 %) sont cités en premier lorsque le rapport évoque les changements déployés comme résultante de la croissance d’une sensibilisation en matière de sécurité.
Le rapport indique que plusieurs entreprises ont adopté un état d’esprit « post-intrusion », ce qui signifie qu’ils opèrent en présumant qu’il y a eu une intrusion et ont développé des plans d’intervention dans ces cas. Les chercheurs estiment que cette préparation conduit à des mesures positives dans la planification post-intrusion. Cependant, des inquiétudes émergent sur les risques d’excès de confiance (ou de complaisance) dans la capacité à protéger de la façon la plus adéquate les atouts les plus précieux de l’entreprise contre les cyber-attaques.
Trois quart des décideurs IT pensent que leur entreprise est désormais en mesure d’empêcher que les attaquants ne pénètre leur réseau interne. Une énorme augmentation considérant les 44 % de l’année dernière qui pensaient la même chose. Même si plus d’un tiers (36 %) pensent qu’une attaque est actuellement en déploiement sur leur réseau ou l’a été durant les deux années passées. 46 % pensent que leur entreprise a été victime d’un ransomware durant ces deux dernières années. 68 % ont indiqué que leur plus grosse peur dans une cyber-attaque était de perdre des données des clients.
Tandis que 95 % du panel a indiqué que leur entreprise a désormais un plan d’urgence en cas d’attaque informatique, moins de la moitié (45 %) a avancé que le plan est régulièrement communiqué et testé avec le personnel IT, tandis que 40 % ont indiqué que ce plan n’a été régulièrement communiqué et testé qu’avec le personnel senior IT.
Le panel a également indiqué que l’installation d’un logiciel malveillant est l’étape d’une cyber-attaque qui est la plus difficile à atténuer pour leur entreprise. Concernant les types de cyber-attaques ou de méthodes d’attaques qui peuvent être les plus problématiques pour leurs entreprises dans les mois à venir, les répondants ont parlé en premier lieu des attaques par déni de service (19 %), des attaques par hameçonnage (14 %) puis des ransomwares (13 %).
Dans un communiqué, Johno Worral, le directeur marketing de CyberArk, a déclaré que le fait d’être sensibilisé à la sécurité ne correspond pas au fait d’être sécurisé : « il y a une fine ligne entre la préparation et l’excès de confiance ». « La majorité des cyber-attaques découlent de mauvaises pratiques - les entreprises ne peuvent pas perdre de vue le paysage de la sécurité dans son ensemble tout en essayant de se protéger contre la menace du jour ».
Source : rapport CyberArk