Les plus récentes tendances en matière de cybersécurité au Canada selon l’Étude sur la cybersécurité 2023 de CDW

La surface d’attaque des TI s’élargit

Après la pandémie, les entreprises se sont rapidement orientées vers le travail hybride, les services numériques, les interfaces de programmation d’applications (API) créées sur mesure, et l’adoption rapide des dispositifs de l’Internet des objets (IdO). De nombreuses organisations canadiennes accélèrent leurs stratégies informatiques publiques, hybrides et multicloud. Avec l’utilisation accrue des TI, plus de données sont créées, échangées et traitées à la vitesse de l’éclair.

Les cyberattaques réussies sont à la hausse

Bien que le nombre total de cyberattaques ait connu une baisse, le nombre d’incidents réussis continue d’augmenter. Dans l’ensemble des industries et de tailles d’organisations, 7 à 10 pour cent des différents types de cyberattaques réussissent, avec les « taux de réussite » d’infiltration les plus élevés parmi les organismes gouvernementaux et éducatifs.

Le temps d’indisponibilité est mauvais pour les affaires

Le temps d’indisponibilité résultant de cyberincidents affecte à la fois la réputation d’une entreprise et ses résultats financiers. En 2023, les entreprises canadiennes de toutes tailles ont signalé un temps d’indisponibilité moyen de deux semaines ou plus sur une période de 12 mois dans chaque catégorie d’attaque, l’infiltration et le déni de service (DoS) étant les types d’attaques les plus souvent cités.

Les retards de détection et de réponse donnent libre cours aux cyberattaquants.

Le temps moyen de détection d’un cyberincident pour une organisation canadienne est de 7,1 jours. Il a fallu à environ 29 pour cent des organisations canadiennes plus d’une semaine pour détecter un cyberincident, et 57 pour cent des organisations ont pris plus d’une semaine pour réagir à une attaque. Le temps de réponse moyen global est de 14,9 jours, tandis que le temps moyen de rétablissement est de 25,6 jours. Le temps moyen de gestion des incidents des organisations canadiennes est d’environ 48 jours, ce qui expose de nombreuses organisations à des amendes réglementaires et à la perte de confiance des clients, sans mentionner l’augmentation potentielle du coût de rétablissement après un incident de sécurité. La détection des menaces fondée sur l’intelligence et les mécanismes d’intervention automatisés et orchestrés sont nécessaires pour aider les équipes de sécurité à faire pencher la balance en leur faveur.

• La croissance de la main-d’œuvre hybride et l’adoption du nuage ont élargi les surfaces d’attaque potentielles.
• Lorsque les utilisateurs, les données, les appareils, et les services sont répartis à plusieurs endroits, les architectures de sécurité basées sur le périmètre sont limitées dans leur capacité à protéger les systèmes critiques contre les cyberattaques.
• L’augmentation des cyberattaques est une préoccupation de la plus haute importance pour les organisations canadiennes, et l’un des principaux facteurs de l’adoption d’une architecture à vérification systématique.

La façon de profiter pleinement de la vérification systématique

Bien que les entreprises canadiennes voient clairement le mérite des architectures à vérification systématique, elles accordent généralement la priorité à la gestion des identités et des accès (GIA). Cependant, la supposition d’une atteinte à la sécurité est un principe tout aussi important, qui se concentre sur la détection et la réponse rapides aux menaces plutôt que sur leur prévention.

Pour désamorcer de façon proactive les menaces avant qu’elles n’apparaissent, les entreprises canadiennes devraient envisager d’augmenter leurs investissements au-delà de la gestion des identités et des accès pour ajouter la détection des menaces basée sur la télémétrie, l’analyse de la sécurité et les cas d’utilisation de l’intelligence artificielle (IA) / l’apprentissage automatique, la recherche des menaces, ainsi que l’orchestration et l’automatisation de la sécurité.

Le bénéfice est une organisation résiliente sur le plan numérique.

La confiance inhérente n’est jamais accordée automatiquement dans un environnement à vérification systématique, et les architectures évolutives peuvent être facilement étendues aux appareils et aux réseaux, améliorant la visibilité et le contrôle qui offriront une meilleure détection et réponse aux menaces. Les organisations canadiennes cherchent des architectures à vérification systématique dans le but de réduire le nombre d’incidents de sécurité et de rendre leurs organisations résilientes sur le plan numérique.

• Le temps moyen de gestion des incidents pour les organisations canadiennes est d’environ 48 jours, ce qui donne aux cyberattaquants beaucoup de temps pour accéder aux précieuses ressources de l’entreprise.
• Les retards de détection et de réponse liés aux cyberattaques exposent les organisations à un risque plus élevé d’amendes réglementaires et de la perte de confiance des clients, et ils augmentent potentiellement le coût du rétablissement après les incidents de sécurité, souvent au détriment de potentiels investissements dans des initiatives de développement des TI qui soutiendraient les objectifs commerciaux.

À l’ère du nuage, les réponses de sécurité traditionnelles ne suffisent plus

La prolifération des services infonuagiques a davantage compliqué la capacité des organisations canadiennes à détecter les menaces et à réagir. Les méthodes traditionnelles de détection des menaces basées sur des journaux et de réponse manuelle sont limitées. Sans la détection des menaces fondée sur l’intelligence et les mécanismes d’intervention automatisés et orchestrés, les équipes de sécurité auront difficile à faire pencher la balance en leur faveur.

Cependant, il faut plus que des solutions de sécurité pour inverser les temps d’arrêt élevés. Un plan d’intervention en cas d’incident qui décrit les politiques et procédures pour évaluer, contenir et se rétablir d’un incident de sécurité est un bon point de départ.

• Les environnements infonuagiques publics sont les composants informatiques les plus directement touchés par les incidents de sécurité.
• Deux organisations sur cinq qui stockent des données dont l’accès est très limité dans le nuage, telles que les renseignements personnels identifiables (RPI) et les renseignements personnels sur la santé (RPS) affirment avoir été victimes d’un incident de sécurité.
• 35 pour cent des organisations canadiennes signalent que le nuage public n’a pas répondu à leurs attentes initiales en matière de sécurité.

Le nuage est attaqué et les organisations sont à risque.

Les environnements infonuagiques sont devenus les composants informatiques les plus attaqués, et l’écart entre l’adoption du nuage et l’investissement proportionnel dans la sécurité infonuagique est devenu un majeur cyberrisque pour de nombreuses organisations canadiennes.

Il est temps de combler l’écart.

L’étude a montré que les organisations canadiennes ne dépensent en moyenne que 13 pour cent de leur budget de sécurité pour sécuriser les environnements infonuagiques. Pour combler l’écart, il faut déterminer la sensibilité des données dans le nuage, identifier et évaluer les risques et acquérir une compréhension du modèle de responsabilité partagée; ce sont des étapes nécessaires pour prioriser les investissements et traiter l’acquisition et le développement des compétences.

• Les équipes canadiennes de sécurité considèrent l’automatisation de la sécurité comme la clé pour améliorer la productivité de l’équipe de sécurité et générer les résultats souhaités en matière de sécurité pour les organisations.
• De nombreuses organisations canadiennes se sont tournées vers l’automatisation de la sécurité pour permettre une détection haute-fidélité, une réponse aux incidents plus rapide et une agilité en matière de sécurité.
• Pour 63 pour cent des organisations canadiennes, l’augmentation des cyberattaques a été l’un des principaux facteurs de l’adoption de l’automatisation de la sécurité.

Les processus de sécurité manuels sont toujours courants.

Bien que la plupart des organisations canadiennes aient examiné et documenté leurs flux de travail de sécurité pour identifier les domaines qui peuvent être automatisés, 62 pour cent des organisations canadiennes comptent toujours sur des processus de sécurité manuels. Pourquoi? Les contraintes budgétaires demeurent le plus grand obstacle, suivies du manque d’outils d’automatisation nécessaires.

Malgré ces défis et d’autres, les organisations doivent s’efforcer de créer un plan stratégique pour la modernisation de la sécurité, et mesurer les améliorations quantifiables apportées à leur posture de sécurité.

Les applications internes se classent comme la composante IT la plus touchée par les cyberattaques en dehors du nuage public. Collectivement, cela place le « développement d’applications sécurisées » parmi les principales préoccupations en matière de sécurité des organisations canadiennes.

• 32 pour cent des organisations canadiennes ont adopté DevOps comme méthodologie standard de développement de logiciels.1
• Une approche cloisonnée peut entraîner, en ce qui concerne la sécurité des applications, des retards dans le développement et travailler à l’encontre de l’objectif de DevOps.
• DevSecOps, avec sa collaboration entre les équipes de sécurité et les développeurs, assure que la sécurité est « solidement intégrée » au développement des applications.

L’intégration de la sécurité de bout en bout dans le développement d’applications nécessite plus que de nouveaux outils de développement; DevSecOps exige un changement fondamental dans l’état d’esprit organisationnel. Cela peut exiger la modernisation de l’ensemble de l’environnement de développement, y compris les référentiels de codes sources, les registres de conteneurs, le pipeline d’intégration continue (CI)/livraison continue (CD), la gestion des API, la gestion des opérations et la surveillance.

Malgré ces défis, DevSecOps améliore considérablement les résultats en matière de sécurité. Selon l’étude, les organisations utilisant DevOps qui ont également investi dans DevSecOps signalent des atteintes à la sécurité moins fréquentes au fil du temps que celles qui n’ont pas encore commencé leur parcours DevSecOps.

• 48 pour cent des organisations canadiennes croient qu’une récession imminente et une hausse de l’inflation auront le plus grand impact sur leurs dépenses en matière de sécurité pour 2023.
• Plus de 60 pour cent des organisations canadiennes affirment que le manque de compétences en matière de sécurité des TI a réduit leur capacité à prévenir les incidents de sécurité.

Les déclencheurs macroéconomiques constituent un obstacle important pour les organisations qui cherchent à améliorer leurs défenses en matière de cybersécurité. Trente et un pour cent des organisations canadiennes se sont tournées vers des partenaires de services de sécurité externes pour maintenir et améliorer leur posture de sécurité, afin de lutter contre l’impact des déclencheurs macroéconomiques sur les dépenses en matière de sécurité.

Pendant des années, les organisations canadiennes ont géré la cybersécurité en silos, et cette approche cloisonnée travaille à l’encontre d’une organisation lorsqu’elle est confrontée à une cyberattaque. L’orchestration est la colle qui fait fonctionner l’ensemble de l’écosystème de sécurité d’une organisation comme s’il s’agissait d’une seule unité, et elle ouvre la voie à l’automatisation. Pour assurer la réussite de l’orchestration et de l’automatisation de la sécurité, il est nécessaire de :

• créer des flux de travail de sécurité reproductibles, et les documenter,
• faciliter la surveillance continue des actifs et la détection des menaces, grâce à des cadres tels que ATT&CK,
• automatiser les processus pour atteindre la vitesse et l’agilité nécessaires pour les environnements complexes,
• investir dans des solutions telles que XDR, qui offrent une intégration prête à l’emploi avec des technologies de sécurité populaires, ou qui sont préintégrées avec une pile de sécurité du même fournisseur,

La vérification systématique exige un changement d’état d’esprit dans l’ensemble de l’organisation. Tous les intervenants, y compris la direction, les équipes TI et les utilisateurs, doivent reconnaître que les cybermenaces existent à la fois à l’intérieur et à l’extérieur de leur environnement informatique, et que les utilisateurs, les appareils et les composants du réseau ne peuvent pas être considérés fiables seulement en fonction de leur emplacement au sein du réseau. Les architectures de sécurité à vérification systématique doivent être en mesure de prévenir, de détecter et de contenir efficacement les incidents de sécurité. N’oubliez pas que la vérification systématique est aussi bonne que les politiques de sécurité sous-jacentes.

Le nuage est devenu un point central de toutes les innovations informatiques. Malheureusement, la pandémie a poussé les organisations à « adopter d’abord et sécuriser plus tard », sans évaluer de manière exhaustive les exigences uniques de la confidentialité et de la sécurité dans le nuage. Pour migrer vers le nuage en toute sécurité, les organisations canadiennes doivent identifier et classer les types de données qui seront utilisées par les applications infonuagiques en fonction de leur sensibilité et de leurs exigences en matière de gouvernance. Les organisations doivent également identifier les outils spécialisés nécessaires à la sécurité infonuagique et à la sécurisation des points terminaux, des réseaux et des applications infonuagiques.

Dans un monde de cybermenaces, les équipes de sécurité et de développement ne peuvent plus se permettre de travailler indépendamment. Un aspect culturel important de DevSecOps et de la sécurité de la chaîne d’approvisionnement des logiciels est de s’assurer que les équipes de développement, d’exploitation et de sécurité travaillent ensemble, dans un effort collectif, pour lancer des logiciels plus rapidement et de manière plus sécuritaire. DevSecOps repose sur l’idée que la sécurité est la responsabilité de tous : Pour atteindre l’objectif de développement d’applications sécurisées, les décisions en matière de sécurité doivent être réparties dans les équipes de sécurité, de développement et d’exploitation de façon ponctuelle et à l’échelle, et automatisées dans la mesure du possible.