Le décalage entre la perception de l’état de préparation à la cybersécurité et les pratiques de protection effectives
La plupart des dirigeants se sentent en sécurité parce que leur entreprise a fait les bons choix. Vous avez acheté les derniers outils de cybersécurité, respecté les normes de conformité et effectué des audits annuels. Sur le papier, cela semble solide. Mais la réalité est différente et dangereuse.
Les données d’Horizon3.ai, qui a analysé les réponses de 800 professionnels de l’informatique et de la sécurité aux États-Unis, au Royaume-Uni et dans l’Union européenne, le montrent clairement. Alors que 84 % des organisations ont déclaré avoir subi une violation, plus d’une sur cinq a indiqué que les vulnérabilités connues non corrigées constituaient leur plus grand risque.
Voici quelque chose d’encore plus révélateur : 61 % des décideurs en matière de cybersécurité comprennent à quel point il est important de réduire le temps moyen de réparation (MTTR), c’est-à-dire la vitesse à laquelle votre équipe corrige ou résout un problème. Ils savent qu’en ralentissant ce délai, vous augmentez les coûts et les risques. Mais 16 % de ces mêmes professionnels ont en fait complètement ignoré cette mesure. La sensibilisation ne suffit pas. Il faut agir.
Stephen Gates, Principal Security SME chez Horizon3.ai, l’a dit clairement : « Ce qui nous a surpris, c’est l’écart considérable entre ce que les organisations considèrent comme important pour la cybersécurité et ce qu’elles font réellement. »
Le problème n’est pas que les dirigeants s’en désintéressent, mais que nombre d’entre eux sont coincés dans une position défensive axée sur la conformité plutôt que sur la sécurité proprement dite. C’est que beaucoup sont coincés dans une position défensive axée sur la conformité plutôt que sur la sécurité proprement dite. Si votre stratégie est conçue pour satisfaire les auditeurs plutôt que d’exclure les attaquants, vous avez déjà perdu l’initiative. La conformité ne prédit pas la résilience. Il est même rare qu’elle l’empêche.
Concentrez-vous sur les résultats réels, et non sur les résultats supposés. Mesurez ce qui compte, comme la rapidité d’application des correctifs et l’efficacité de vos détections.
Les pratiques de gestion de la vulnérabilité sont inadéquates
La plupart des entreprises recherchent les menaces. Là n’est pas le problème. Le problème, c’est ce qui se passe après l’analyse. Horizon3.ai a constaté que 98 % des entreprises utilisent une forme ou une autre de technologie d’analyse pour détecter les vulnérabilités, mais seulement 34 % d’entre elles pensent que les outils qu’elles utilisent sont réellement efficaces. C’est un problème.
Le rapport signal/bruit est incontrôlable. 36 % des équipes interrogées déclarent que leurs outils les submergent de faux positifs. Lorsque vos équipes de sécurité passent leur temps à traquer des centaines d’alertes inexactes, elles ne s’attaquent pas aux risques réels qui comptent.
Plus inquiétant encore, 36 % des RSSI déclarent retarder l’application des correctifs simplement parce qu’ils ne savent pas si une vulnérabilité peut réellement être exploitée dans leur environnement. C’est un problème de clarté. Et la clarté est essentielle lorsque vous gérez des systèmes critiques sous pression.
Stephen Gates, de Horizon3.ai, l’a bien dit : lorsque les équipes sont inondées d’alertes, elles commencent à les ignorer complètement. Vous savez déjà à quoi cela mène : lorsque la véritable menace apparaît, personne ne la surveille.
Pour les dirigeants, cela met en évidence un problème structurel. Investir dans des scanners de vulnérabilité ne suffit pas si vos équipes ne peuvent pas distinguer l’urgence du bruit. Vous devez y remédier ou risquer de passer à côté de quelque chose d’essentiel. Si vos outils de sécurité ne permettent pas une prise de décision rapide et précise, ils ajoutent de la friction au lieu de la protection.
La voie à suivre ? L’établissement de priorités doit être intégré à chaque couche de votre stratégie de sécurité. Vos équipes ont besoin d’une meilleure connaissance de l’exploitabilité et du contexte, et pas seulement du nombre d’alertes. Cela nécessite des outils conçus pour fournir des signaux moins nombreux et plus intelligents, ainsi que des flux de travail conçus pour agir sans délai.
Les tests de pénétration externalisés sont souvent inefficaces
Beaucoup d’entreprises paient pour des tests de pénétration externes afin de trouver les faiblesses de leurs systèmes. C’est une démarche sensée. Mais la façon dont la plupart des tests sont effectués aujourd’hui ne permet pas d’obtenir des résultats en temps réel ou utiles. Elle crée plus de confusion que de confiance.
Selon Horizon3.ai, 40 % des organisations ont déclaré que leur environnement avait tellement changé entre le moment où le test a été effectué et celui où elles ont reçu le rapport que les résultats étaient soit obsolètes, soit non pertinents. Par ailleurs, 27 % ont signalé des problèmes de précision, de faux positifs et de faux négatifs dus au fait que les testeurs ne comprenaient pas parfaitement l’infrastructure de l’entreprise. Plus inquiétant encore, 24 % n’ont pas reçu de conseils pratiques sur la manière de résoudre les problèmes identifiés.
C’est du temps, du budget et de la confiance dépensés pour un résultat qui ne fait pas avancer les choses.
Les programmes de sécurité dépendent du contexte. Si vos testeurs ne peuvent pas comprendre votre architecture ou vous donner des informations que vous pouvez utiliser dès maintenant, et non après le prochain cycle de maintenance, alors vous ne résolvez pas les problèmes suivants vulnérabilités. Vous compilez des rapports qui peuvent répondre à une obligation contractuelle, mais qui laissent votre environnement exposé.
Les tests inadéquats des environnements cloud exposent les entreprises.
Le cloud est désormais le lieu de fonctionnement des entreprises. La migration est rapide. Le taux d’adoption est élevé. Mais de nombreuses entreprises n’ont pas adapté leurs pratiques de sécurité à cette réalité. C’est là que les risques commencent.
Les données d’Horizon3.ai montrent que 40 % des organisations ne testent pas du tout régulièrement leurs environnements cloud. Lorsqu’un environnement n’est pas testé, les vulnérabilités ne sont pas suivies. Lorsqu’elles ne sont pas repérées, elles ne sont pas corrigées. Le risque s’aggrave.
De nombreuses équipes supposent que le passage au cloud signifie que la sécurité est automatiquement prise en charge par le fournisseur. Il s’agit là d’un dangereux malentendu. Si les principales plateformes de cloud gèrent la sécurité de l’infrastructure sous-jacente, la responsabilité des tests et de la sécurisation des configurations, des applications et des politiques d’identité incombe à l’organisation qui utilise le cloud.
Il ne s’agit pas d’une question d’intention, la plupart des entreprises veulent des opérations sécurisées. C’est une question de visibilité. Si vous ne testez pas ce qui est déployé dans votre propre empreinte cloud, vous ne savez pas où vous êtes vulnérable.
Du point de vue des dirigeants, le cloud présente des avantages en termes de flexibilité et d’échelle. C’est pourquoi vous vous y intéressez. Mais il multiplie également les risques s’il n’est pas contrôlé. Chaque composant provisionné, chaque mise à jour déployée, chaque privilège mal utilisé – tous ces éléments augmentent quotidiennement la surface d’attaque. Les tests réguliers du cloud ne sont pas facultatifs. Il s’agit d’un élément fondamental.
Pour aller de l’avant, votre stratégie doit inclure des évaluations continues et automatisées du cloud, et pas seulement par projet ou à la fin du trimestre. Ces tests doivent être réalisés en temps réel, adaptés à votre architecture et capables de valider rapidement l’impact des changements. Le cloud évolue rapidement. Votre visibilité sur le cloud doit évoluer plus rapidement.
Le manque de personnel et les facteurs humains entravent l’efficacité de la défense en matière de cybersécurité
La technologie ne fonctionne pas toute seule. Les systèmes sont gérés par des personnes. Des personnes enquêtent sur les alertes. Des personnes appliquent les correctifs. Lorsque vous n’avez pas suffisamment de personnes compétentes dans les rôles appropriés, tout se ralentit et les points faibles restent exposés plus longtemps qu’ils ne le devraient.
Stephen Gates, Principal Security SME chez Horizon3.ai, l’a directement souligné : « Les équipes informatiques et opérationnelles manquent de personnel et sont à bout de souffle. Cette pression crée des angles morts, des oublis, des dérapages dans les politiques, des erreurs qui se multiplient. Et en cas d’incident, les équipes prennent du retard au lieu de prendre de l’avance.
Plus votre personnel est surchargé, moins il a le temps de se concentrer sur des tâches stratégiques telles que la surveillance proactive, l’analyse détaillée des causes profondes ou l’affinement des défenses. Ils luttent contre les incendies. Ils réagissent au lieu de réduire les risques.
Lorsque le personnel s’épuise ou part, les connaissances institutionnelles qu’il emporte avec lui amplifient encore ces lacunes.
Pour les dirigeants, il ne faut pas y voir uniquement un problème d’embauche. Il s’agit d’une question de priorité. Il n’est pas nécessaire d’augmenter les effectifs. Ce dont vous avez besoin, c’est d’un investissement stratégique dans l’automatisation et les outils intelligents qui amplifient les capacités de votre équipe existante, des outils qui réduisent le bruit, rationalisent les correctifs et permettent une remédiation rapide et précise.
Vous ne pouvez pas ignorer les contraintes opérationnelles de vos équipes internes. Si la visibilité et la cohérence diminuent en raison des limites du personnel, l’ensemble de votre dispositif de sécurité s’affaiblit. Les investissements doivent équilibrer les logiciels, l’infrastructure et le personnel, car sans un nombre suffisant de professionnels formés et soutenus pour les gérer, même les meilleurs systèmes ne sont pas à la hauteur.
L’augmentation des investissements dans la cybersécurité ne permet pas de réduire efficacement les risques en raison de stratégies mal alignées
Les dépenses sont en hausse. Les risques ne diminuent pas. C’est là que le bât blesse.
Selon Gartner, les dépenses mondiales en matière de sécurité de l’information atteindront 212 milliards de dollars d’ici 2025, soit une augmentation de 15 % par rapport aux 184 milliards de dollars de l’année précédente. Une grande partie de cette croissance est due à l’adoption par les entreprises de l’IA générative et à la demande accrue d’outils de protection autour de celle-ci. L’investissement est réel. Le problème est que les résultats ne le sont souvent pas.
Les organisations achètent davantage d’outils mais continuent à subir les mêmes violations. Le problème principal n’est pas le budget. C’est l’orientation. Si les programmes de sécurité sont structurés autour de la conformité et non de la réduction réelle des menaces, vous payez davantage pour maintenir l’illusion d’une protection. Cette illusion se brise dès qu’un attaquant se déplace plus vite que votre cycle de révision trimestriel.
Il s’agit de renforcer l’alignement entre les investissements et les résultats. L’achat d’une technologie ne réduira pas les risques si vous ne vous préoccupez pas de la manière dont elle est mise en œuvre, intégrée, entretenue et mesurée.
Les dirigeants doivent promouvoir des stratégies qui lient directement les dépenses aux performances du personnel de première ligne. Où la violation a-t-elle commencé ? Combien de temps a duré la remédiation ? Les signaux de détection s’améliorent-ils ? Tels sont les paramètres qui comptent.
Si les dépenses semblent bonnes sur un graphique mais que le volume des incidents reste le même, les dirigeants doivent se poser d’autres questions. Les équipes sont-elles configurées pour la vitesse et l’agilité ? Les outils améliorent-ils la clarté des signaux ou ajoutent-ils des frictions ? La responsabilité est-elle liée à l’utilisation des outils, et pas seulement à leur acquisition ?
L’efficacité de la sécurité se résume à l’intégration opérationnelle et à des résultats mesurables. Le budget n’est qu’un outil. Les décisions qui le sous-tendent déterminent si le risque diminue réellement ou s’il est simplement mieux documenté.
Les cyberattaquants devancent les défenseurs grâce à leur rapidité, leur innovation et leurs ressources considérables.
Les attaquants ont l’avantage, et ils l’utilisent. Ils sont rapides, bien financés et ne sont pas liés par des processus. Ils agissent rapidement lorsqu’ils trouvent une faiblesse. La plupart des défenseurs ne le font pas.
Stephen Gates, Principal Security SME chez Horizon3.ai, l’a clairement résumé : les défenseurs sont dans « une bataille asymétrique contre des attaquants qui innovent plus rapidement, exploitent les faiblesses instantanément, ont des budgets apparemment illimités pour financer leurs activités, font progresser leurs outils quotidiennement et ne respectent jamais les règles ». Ce n’est pas une exagération, c’est l’état actuel de la cybersécurité.
Les équipes de sécurité interne restent concentrées sur les calendriers, les cycles de conformité et les processus statiques. Les attaquants n’attendent pas. Ils sondent, pivotent et frappent en quelques jours ou quelques heures, pas en quelques trimestres. Lorsque les entreprises continuent à effectuer des tests annuels et à retarder les cycles de correctifs, elles jouent sur des calendriers obsolètes.
Le problème le plus important est d’ordre structurel. La plupart des équipes de sécurité sont réactives, alors que les attaquants sont adaptatifs. Les défenseurs sont donc dépassés, non pas par manque d’efforts, mais parce que le modèle opérationnel ne permet pas une adaptation rapide.
Les dirigeants doivent comprendre qu’il n’est pas possible de combler ce fossé par des approches axées sur la conformité ou des évaluations occasionnelles. Il faut une visibilité en temps réel, des tests constants et des boucles de rétroaction rapides. Vous devez permettre à vos équipes d’opérer à la même vitesse que les attaquants.
Cela signifie qu’il faut déployer des outils qui ne signalent que les problèmes importants et réduisent le bruit. Cela signifie qu’il faut mettre en place des processus qui permettent de prendre des décisions plus rapidement. Enfin, il faut passer d’une défense statique à un contrôle et à une amélioration dynamiques et continus.
La sécurité n’est pas défaillante parce que les défenseurs n’essaient pas. Elle est défaillante parce que le système utilisé par la plupart des organisations n’est pas conçu pour faire face à une menace toujours active, disposant de ressources importantes et évoluant rapidement. C’est ce qui doit changer.
Récapitulation
L’écart entre ce que la plupart des organisations dépensent pour la cybersécurité et la protection qu’elles obtiennent réellement se creuse. Les outils ne sont pas en cause. Ce sont les stratégies qui le sont. Lorsque les décisions donnent la priorité à la conformité plutôt qu’à la résilience, la vitesse passe au second plan et les attaquants n’attendent pas.
Chaque brèche, chaque correctif retardé, chaque alerte ignorée est un échec opérationnel déguisé en problème technique. Si vos équipes sont débordées, si vos environnements cloud ne sont pas testés, si vos tests de pénétration génèrent de la paperasse au lieu d’une action, vous êtes exposé. Et c’est mesurable.
Pour les dirigeants, cela se résume à la responsabilité. Pas seulement au sein de votre équipe de sécurité, mais à tous les niveaux de la direction. On ne réduit pas les risques en faisant des chèques plus importants. Vous réduisez les risques en conduisant une exécution qui correspond à la réalité – rapide, contextuelle et implacable sur les fondamentaux.
Faites de la cybersécurité une fonction de performance, et non une case à cocher de conformité. Donnez la priorité à ce qui est important. Donnez à vos équipes le temps, la clarté et les outils dont elles ont besoin pour agir. Les menaces se déplacent. La question est de savoir si votre organisation l’est aussi.
