Alors que nous entrons en 2023, des facteurs tels qu’une économie incertaine, l’inflation, la crainte d’une récession, le gel des embauches et les licenciements, ainsi que les problèmes de chaîne d’approvisionnement continuent de peser sur les entreprises, affectant non seulement les opérations quotidiennes, mais aussi les budgets pour la nouvelle année.
En ce qui concerne les dépenses de cybersécurité, en particulier, Curtis Fechner, ingénieur, gestion des menaces chez Optiv, indique que de nombreux dirigeants s’attendent à ce que leurs budgets restent inchangés en 2023, ce qui est le meilleur des cas, car le risque de coupes dans un contexte économique et commercial incertain se profile.
Nous avons rencontré Curtis pour obtenir ses réflexions sur la façon dont il pense que les budgets de cybersécurité stagnants ou réduits affecteront les entreprises en 2023.
BN : Comment pensez-vous que les entreprises géreront une cybersécurité stable ou réduite ? budgets ?
CF : Les programmes de cybersécurité réussis nécessitent un investissement égal dans trois domaines : les personnes, les processus et la technologie. Cependant, s’il n’y a pas beaucoup d’argent à dépenser, je soupçonne que de nombreuses organisations vont bouleverser l’équilibre en injectant de l’argent dans les nouvelles technologies. Nous avons déjà vu cela commencer à se produire cette année, avec des organisations incluant des professionnels de la sécurité de l’information dans des réductions de personnel à grande échelle, et cela se poursuivra dans la nouvelle année.
Avec tant de battage médiatique autour de l’automatisation, de nombreux cadres se sont convaincus que la technologie peut remplacer les humains-mais la réalité est que nous sommes loin d’atteindre le résultat souhaité. De bons outils peuvent certainement aider à réduire les risques, mais je crois aussi que ces outils ne sont aussi efficaces que les personnes qui les utiliseront. Ainsi, les entreprises qui se concentrent sur les dépenses technologiques au détriment de leurs cyber-ressources humaines se trouveront probablement plus à risque d’un cyberincident majeur ou d’une violation en 2023.
BN : Pouvez-vous expliquer comment les réductions du personnel de cybersécurité peuvent augmenter les risques de sécurité ?
CF : les équipes de sécurité travaillant dans les centres d’opérations de sécurité (SOC) luttent depuis longtemps contre la fatigue des alertes, et ce problème ne va pas disparaître de sitôt. Des centaines d’alertes affluent des outils de sécurité disparates mis en œuvre dans l’environnement informatique d’une entreprise, et les analystes de la sécurité sont chargés d’enquêter manuellement sur chacune d’elles, d’identifier les menaces légitimes, puis de réagir rapidement pour atténuer les risques ou limiter les dommages. C’est un processus qui demande énormément de temps et d’efforts. La réduction du nombre d’analystes de sécurité dans le personnel laisse le personnel restant prendre le relais dans un SOC déjà débordé. Ils feront certainement ce qu’ils peuvent, mais il n’y a qu’un certain nombre d’heures dans la journée. Lorsque les professionnels de la sécurité sont débordés et débordés, le risque que des menaces légitimes passent entre les mailles du filet ou ne soient pas identifiées en temps opportun est plus élevé, ce qui entraîne une augmentation globale des incidents graves.
BN : Prévoyez-vous également d’autres risques ?
CF : Je pense qu’il y aura un large spectre de désaccentuation des humains, en grande partie au détriment de nombreuses organisations. Nous le verrons non seulement par la réduction des effectifs, mais aussi en termes de développement de carrière, par exemple en investissant dans la formation des employés.
Les employés qui ont encore un emploi seront confrontés à des coupes budgétaires de formation, les privant de l’éducation et de la formation pratique dont ils ont besoin pour protéger efficacement leur organisation. Par exemple, sans formation, les équipes de sécurité manquent d’expérience et de connaissances pratiques en matière de réponse aux incidents (RI) dans le monde réel, ce qui les rend terriblement mal préparées à la suite d’une violation ou d’une autre cybermenace. Les entreprises peuvent mettre suffisamment d’argent pour un seul exercice annuel sur table IR chaque année, mais cette cadence est loin d’être suffisante pour permettre aux participants IR de construire la bonne”mémoire musculaire”nécessaire pour remplir leur rôle dans le processus.
Ainsi, les entreprises ont alors un double problème : elles manquent de personnel sur le front de la sécurité et les personnes qu’elles emploient ne disposent pas des outils nécessaires pour sécuriser correctement l’entreprise.
BN : Un conseil pour les entreprises à l’aube de 2023 ?
CF : Ne négligez pas l’élément humain dans la cybersécurité.
Les attaquants très motivés peuvent avoir un impact considérable contre leurs cibles dans un laps de temps très court. Leur objectif est de travailler plus vite que le SOC ne peut répondre, et nous n’aidons pas les équipes du SOC en diminuant leurs ressources et en supprimant leur formation.
Certaines entreprises pensent que la technologie leur permet de travailler plus vite que attaquants en automatisant les contrôles de sécurité. Mais, si l’automatisation est entraînée par rapport à des techniques ou des indicateurs d’attaque historiques-et si nous examinons de nombreux produits tirant parti de ces données historiques pour entraîner leurs modèles d’apprentissage automatique-nous risquons de ne pas nous préparer aux menaces émergentes en exploitant de nouvelles tactiques et techniques. Et, si la détection est imparfaite, la technologie automatisée échouera à contenir la menace ou entraînera des faux positifs qui perturberont l’activité. L’ironie est que les professionnels de la sécurité qui sont licenciés au détriment de ces technologies peuvent en fait trouver des anomalies que les contrôles techniques manquent. Par conséquent, sans l’élément humain dans le processus, les risques de sécurité augmentent et les organisations se rendent plus vulnérables.
Le paysage des menaces devient de plus en plus sophistiqué et les attaquants deviennent de plus en plus aptes à exploiter de nouvelles vulnérabilités et à identifier de nouvelles lacunes du contrôle de sécurité. À l’approche de 2023, les entreprises devraient continuer à investir dans leur personnel, à leur donner la formation dont ils ont besoin pour réussir et à s’assurer que leurs solutions technologiques complètent-plutôt qu’elles ne remplacent-les humains. Lorsque les entreprises sont capables de maintenir le bon équilibre entre les personnes, les processus et la technologie, elles peuvent mettre en place de solides postures de cybersécurité et de cyber-résilience qui les aideront à identifier, répondre et résister à tout type d’attaque.
Crédit image : BiancoBlue/depositphotos.com