CyberVadis, entreprise française filiale d’EcoVadis et dédiée à l’évaluation de la cybersécurité des fournisseurs tiers et partenaires externes des entreprises, a conduit fin 2020 une étude auprès de 680 entreprises réparties à travers 56 pays, afin de mesurer le niveau de préparation des entreprises en vue de ces pratiques de travail hybrides.Depuis plus d’un an, la pandémie de COVID-19 a affecté bon nombre de pratiques professionnelles et exposé les systèmes et processus à de nouvelles vulnérabilités potentielles. Alors que le gouvernement français a annoncé les premières étapes de la levée des restrictions pour le mois de mai, les entreprises doivent être préparées à une organisation de travail hybride, entre présentiel et distanciel, en veillant à ce que leurs actifs et leurs réseaux soient bien protégées contre toute tentative de cyberattaque.
Augmentation des risques lorsque les terminaux s’éloignent de l’entreprise ou y sont étrangers
Lorsque les ordinateurs quittent le périmètre du bureau et que les employés accèdent aux informations à distance, le risque de vulnérabilité pour ces données augmente et par conséquent la nécessité de les protéger. Ainsi, il ressort que 42 % des entreprises ont mis en place des méthodes d’authentification forte pour gérer les accès à distance de leurs employés et tiers.
D’autre part, seules 26 % des organisations interrogées autorisent l’accès au réseau interne uniquement aux appareils professionnels. Autrement dit, près de trois quarts des entreprises ne possèderaient donc toujours pas de systèmes permettant de vérifier que des appareils non autorisés n’accèdent pas à leurs réseaux et actifs.
En outre, avec la généralisation du télétravail, de nombreux employés sont autorisés – ou contraints – d’utiliser des appareils personnels dans le cadre de leur mission et ne sont pas toujours formés aux règles de sécurité relatives à ces usages. Les recherches de CyberVadis ont ainsi révélé que 28 % des entreprises ont une autorisation de processus d'attribution d'appareils personnels avec accès aux systèmes d'information. Seuls 15 % des répondants déclarent avoir effectué des contrôles de sécurité sur les appareils non gérés par l'entreprise avant de laisser ces derniers se connecter au réseau interne. Et ce, malgré un risque lié à l’utilisation de cet appareil par des membres du foyer.
« Face aux cyberattaques de plus en plus nombreuses, il est indispensable d’évaluer le niveau de vulnérabilité non seulement de ses propres systèmes mais de l’ensemble de l’écosystème d’une entreprise pour se prémunir contre des pertes ou des vols de données critiques, explique Estelle Joly, VP Strategy & Operations chez CyberVadis. Si une organisation est mature dans la gestion de sa cybersécurité mais que ses partenaires, fournisseurs ou employés en télétravail ne le sont pas, ils constituent une porte d’entrée pour les potentiels attaquants. »
L’étude a mis en avant le fait que seulement un tiers (34 %) des entreprises évaluent l’engagement contractuel de leurs fournisseurs et partenaires tiers périodiquement. Et 25 % gèrent les risques de leurs fournisseurs de cloud.
Une hygiène de sécurité standard toujours en souffrance, et toujours plus de sensibilisation
Dans le cas d’appareils gérés par l'entreprise, les mesures pourtant considérées comme standard, ne semblent pas largement mises en œuvre. Par exemple, 36 % des entreprises interrogées chiffrent leurs postes de travail, 24 % bloquent l’utilisation de ports USB et seulement 12 % évaluent, testent et valident les correctifs en amont de leur application, ce qui reste bien trop peu dans un contexte de surface d’attaque étendue.
En outre, 43 % des entreprises indiquent ne conduire des campagnes de sensibilisation à la sécurité que de manière périodique, laissant les employés seuls face aux attaques de phishing la majeure partie du temps.
« Depuis la propagation du COVID-19 l’an dernier, les cybercriminels ont profité d'un manque de sensibilisation à la sécurité – qui lors du basculement en télétravail de nombreuses organisations n’était pas une priorité – pour lancer de nouvelles vagues d'attaques, explique Thibault Lapédagne, directeur cybersécurité chez CyberVadis. Les moments de crise sont toujours propices pour les cybercriminels pour lancer des campagnes de phishing, tirer parti des failles générées par les périodes de transition ou d’incertitudes. Dans le cadre de la pandémie, ils ont beaucoup exploité, et continuent de le faire, les campagnes d’informations liées au coronavirus, incitant les employés à cliquer sur des liens malveillants par exemple. C’est pourquoi il est indispensable de poursuivre la sensibilisation des équipes afin de garantir la sécurité de l’écosystème et des données. »
De nombreuses entreprises sont encore en train de rattraper leur retard et un grand nombre de pratiques en matière de sécurité, considérées comme essentielles pour la nouvelle normalité, ne sont pas encore en place. Alors que les cybermenaces sont omniprésentes, les organisations doivent disposer d’une vision du risque cybersécurité précise et argumentée sur l’ensemble de leurs infrastructures mais aussi sur leurs fournisseurs, partenaires ou encore consultants externes, pour être en mesure de maintenir leur activité et de lutter contre les cyberattaques.
Source : Etude CyberVadis
Et vous ?
D'après votre expérience, cette étude est pertinente ou pas ? Avec le télétravail, comment votre entreprise a-t-elle mis en place les dispositifs de contrôle de la sécurité, notamment le contrôle des accès ?Voir aussi :
Des chercheurs piratent une voiture Tesla à distance à partir d'un drone en utilisant un exploit "Zéro-Clic", plusieurs véhicules électriques pourraient être touchés par ces vulnérabilités Thycotic annonce une intégration de sa solution PAM avec Slack, pour la gestion transparente des accès à privilèges et des workflows quotidiens Les accès privilégiés sont le talon d'Achille de la sécurité des entreprises, 83 % d'entre elles accordant un accès à des organisations ou contractants tiers