Les professionnels de la cybersécurité constituent un élément essentiel des cyberdéfenses d’une entreprise. Si l’on a beaucoup écrit sur la pénurie de personnel qualifié en matière de cybersécurité, nous nous sommes beaucoup moins intéressés à la manière de permettre à ces professionnels d’avoir le plus grand impact possible. En bref, comment permettre à ces derniers de remplir leur mission avec succès.
Notre récente analyse vise à faire progresser la compréhension de ce domaine particulier en posant la question suivante : “La structure organisationnelle affecte-t-elle les résultats en matière de cybersécurité ?”. Nous espérons que les résultats s’avéreront utiles à quiconque envisagerait de mettre en place une fonction de cybersécurité afin d’obtenir de meilleurs résultats. Télécharger le rapport.
Approche
Notre point de départ était une enquête indépendante commandée par Sophos sur les expériences de 3 000 professionnels IT/cybersécurité travaillant dans des entreprises de taille moyenne (entre 100 et 5 000 employés) dans 14 pays. L’étude a été menée durant le premier trimestre 2023 et a dévoilé la réalité du terrain en matière de ransomwares, de cyber-risques et d’opérations de sécurité à laquelle sont confrontés les professionnels de la sécurité opérant en première ligne. Les résultats ont constitué la base des rapports suivants : L’état des ransomwares 2023 et L’état de la cybersécurité en 2023.
Cette analyse a passé en revue ces expériences en matière de cybersécurité en prenant en compte la structure organisationnelle déployée. L’objectif était d’identifier s’il existait une relation entre la structure et les résultats et, si oui, quelle structure avait fourni les meilleurs résultats.
Les personnes interrogées ont sélectionné l’un des modèles suivants, qui représente le mieux la structure des fonctions de cybersécurité/IT de leur organisation :
- Modèle 1 : L’équipe IT et l’équipe de cybersécurité sont des structures distinctes (n = 1 212).
- Modèle 2 : Une équipe dédiée à la cybersécurité fait partie de l’organisation IT (n = 1 529).
- Modèle 3 : Il n’existe pas d’équipe dédiée à la cybersécurité ; à la place c’est l’équipe IT qui gère la cybersécurité (n=250).
Neuf entreprises interrogées ne correspondaient à aucun de ces modèles et ont donc été exclues de l’analyse. Les entreprises qui sous-traitaient entièrement leur cybersécurité, par exemple via un MSSP, ont été également exclues de l’étude.
Résumé
L’analyse a révélé que les organisations disposant d’une équipe dédiée à la cybersécurité au sein d’une équipe IT plus large fournissaient de meilleurs résultats globaux en matière de cybersécurité (modèle 2) par rapport aux deux autres groupes. À l’inverse, les entreprises dans lesquelles les équipes IT et de cybersécurité étaient distinctes (modèle 1) ont globalement rapporté les expériences les plus médiocres.
Bien que la cybersécurité et les opérations IT au sens large soient des spécialisations distinctes, le succès relatif du modèle 2 peut être dû au fait que les 2 domaines soient également intrinsèquement liées : en effet, les contrôles de cybersécurité ont souvent un impact direct sur les solutions informatiques lors de la mise en œuvre d’une bonne cyber-hygiène, par exemple en installant des correctifs et en verrouillant le RDP, des actions qui est souvent exécutées par l’équipe IT.
L’étude a également clairement montré que si vous manquez de compétences et de capacités essentielles en matière de cybersécurité, la manière avec laquelle vous structurez l’équipe n’a que peu d’impact sur la majeure partie de vos résultats en matière de sécurité. Les entreprises qui cherchent à compléter et à étendre leurs capacités internes avec des experts tiers spécialisés en cybersécurité (par exemple, des fournisseurs MDR ou MSSP) doivent rechercher des partenaires flexibles qui démontrent une réelle capacité à travailler en tant que prolongement de l’équipe interne étendue.
Points marquants de l’analyse
L’analyse compare les expériences rapportées par les trois groupes mentionnés ci-dessus dans un certain nombre de domaines, révélant des résultats qui invitent à la réflexion.
Causes racines des attaques de ransomware
Il est intéressant de noter que la cause racine signalée des attaques de ransomware varie selon la structure organisationnelle :
- Modèle 1 : Près de la moitié des attaques (47 %) ont débuté par une vulnérabilité exploitée, tandis que 24 % étaient le résultat d’une compromission d’identifiants.
- Modèle 2 : Les vulnérabilités exploitées (30 %) et la compromission d’identifiants (32 %) étaient également susceptibles d’être à l’origine de l’attaque, et ce de manière équivalente.
- Modèle 3 : Près de la moitié des attaques (44 %) ont débuté avec la compromission d’identifiants, et seulement 16 % avec une vulnérabilité exploitée.
Récupération après une attaque de ransomware
Les entreprises du modèle 1 étaient beaucoup plus susceptibles de payer la rançon que les autres groupes et ont signalé un taux d’utilisation des sauvegardes le plus faible pour récupérer les données chiffrées. En plus d’être le groupe le plus susceptible de payer la rançon, les entreprises du modèle 1 ont également déclaré payer des rançons beaucoup plus élevées, le paiement médian représentait plus du double de celui des modèles 2 et 3.
Opérations de sécurité
Le principal point à retenir dans ce domaine particulier est que, même si les entreprises du modèle 2 s’en sortent mieux au niveau de la mise en œuvre de leurs opérations de sécurité, la plupart des organisations ont du mal à mener elles-mêmes ces dernières de manière efficace. Pour résumer, la manière avec laquelle vous structurez l’équipe n’a que peu d’importance si vous manquez de capacités et de compétences essentielles.
Gestion quotidienne de la cybersécurité
Il existe de nombreux points communs dans ce domaine entre les trois groupes, et tous font face à des défis similaires. Plus de la moitié des personnes interrogées dans les trois modèles déclarent que les cybermenaces sont désormais trop avancées pour que leur organisation puisse y faire face seule (60 % modèle 1 ; 51 % modèle 2 ; 54 % modèle 3).
Tous les modèles partagent également les mêmes inquiétudes concernant les cybermenaces et les risques. L’exfiltration de données et le phishing (notamment le spear-phishing) figurent parmi les trois principales préoccupations en matière de cybersécurité pour les trois groupes, et la mauvaise configuration des outils de sécurité est le risque perçu le plus courant dans tous les domaines. Pour résumer, tout le monde a les mêmes préoccupations majeures, quelle que soit la structure organisationnelle.
Remarque importante
Bien que cette analyse fournisse des informations uniques sur la corrélation entre la structure IT/cybersécurité et les résultats rapportés, elle n’explore pas les raisons à l’origine de ces résultats, c’est-à-dire la causalité. Chaque entreprise est différente, et la structure de la fonction IT/cybersécurité est l’une des nombreuses variables qui peuvent avoir un impact sur la propension à obtenir de bons résultats en matière de sécurité, notamment le secteur d’activité concerné, le niveau de compétence des membres de l’équipe, le niveau des effectifs, l’ancienneté de l’organisation, entre autres. Ces enseignements doivent être utilisés parallèlement à d’autres considérations pour identifier la meilleure approche pour une organisation individuelle donnée.
Pour en savoir plus
Pour en savoir plus et voir l’analyse complète, téléchargez le rapport.
Comme indiqué, cette analyse se concentre sur la corrélation plutôt que sur la causalité, et des recherches supplémentaires sont nécessaires pour comprendre les raisons pouvant expliquer ces résultats. Face aux défis actuels en matière de cybersécurité, une longueur d’avance, quelle qu’elle soit, prise par les défenseurs sera crucial et nous espérons que cette analyse incitera à approfondir les études sur la manière avec laquelle les entreprises peuvent tirer parti de leur structure interne afin d’optimiser leurs défenses.
Billet inspiré de The Impact of Organizational Structure on Cybersecurity Outcomes, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.