Cette année, Axis a participé à la plus grande enquête comparative de cybersécurité au monde. Intitulée Cybersecurity Solutions for a Riskier World (solutions de cybersécurité dans un monde plus risqué), elle a été organisée par le cabinet d’études international ThoughtLab. L’enquête avait pour objet d’analyser les stratégies de cybersécurité et les résultats de 1200 grandes entreprises de 14 secteurs dans 16 pays. Elle a mis en évidence la multiplication des risques, mais aussi une tendance inquiétante : l’état d’impréparation perçu par les opérationnels face à l’évolution de l’environnement des menaces. Nous avons examiné les données de l’enquête pour en extraire quelques enseignements précieux relevant du secteur de la surveillance et de la sécurité.
La prolifération des objets connectés de l’univers IoT (Internet of Things), où des milliards de dispositifs sont aujourd’hui connectés entre eux et aux réseaux d’entreprise, a redéfini la notion des risques de cybersécurité ces dernières années. De fait, cette tendance a étendu considérablement la surface d’attaque potentielle pour les entreprises. Concrètement, n’importe quel dispositif connecté au réseau peut constituer le point d’entrée d’une attaque par des cybercriminels.
Ce facteur est souligné dans l’enquête : 25 % des personnes interrogées considèrent que « la convergence des systèmes numériques/physiques a fortement accru le cyber-risque ». Et ce risque continue d’augmenter. Si 27 % des personnes interrogées estiment que le développement des nouvelles technologies, y compris l’IoT, représente aujourd’hui le plus grand cyber-risque, elles sont 37 % à penser qu’il le sera dans deux ans.
Résultat plus parlant encore, 44 % des personnes interrogées conviennent que « le recours croissant aux partenaires et fournisseurs expose [leur entreprise] à un cyber-risque majeur ». Ce problème peut découler de l’utilisation par les fournisseurs de composants matériels et logiciels d’autres entités, qui restent inconnues du client. Il est dès lors essentiel de s’approvisionner en solutions de sécurité vérifiées de bout en bout ou auprès de fournisseurs transparents capables de produire un inventaire détaillé des composants logiciels incorporés (SBOM, Software Bill Of Materials).
Globalement, plus d’une personne interrogée sur quatre (27 %) considère que son entreprise n’est pas suffisamment préparée à un environnement des menaces en constante mutation.
OT et IT : rééquilibrage indispensable
Plus que jamais, les risques doivent être pris en compte aussi bien au niveau des technologies de l’information (IT), qui gèrent principalement les données des entreprises, que des technologies opérationnelles (OT), qui servent à gérer et à surveiller les équipements, ressources, procédés et événements industriels. Néanmoins, les données de l’enquête de ThoughtLab font apparaître un écart préoccupant au niveau des effectifs. Parmi les entreprises participant à l’enquête, seuls 40 % des personnels de cybersécurité étaient principalement affectés à l’aspect OT.
Sur le papier, une proportion 40/60 entre personnel de cybersécurité affecté à l’OT et personnel centré sur l’IT peut sembler relativement équilibré. Mais remise dans le contexte des principales raisons de violation de sécurité, il apparaît clairement que cette proportion devrait être mieux répartie.
Les participants à l’enquête citent l’erreur humaine (50 %), les ressources inconnues (44 %), les configurations incorrectes (44 %), le défaut de maintenance (43 %) et l’application des correctifs (31 %) comme cause d’origine des cyberattaques, dont une bonne partie devrait s’intensifier. Toutes ces causes peuvent être considérées comme des manquements de l’OT, alors que le premier domaine lié à l’IT, l’architecture réseau, est cité comme cause d’origine des attaques par seulement 26 % des personnes interrogées. Étant donné que la surface d’attaque de la plupart des entreprises compte plus de ressources OT que de ressources IT, il serait logique que l’OT compte davantage de personnel de cybersécurité que l’IT et non l’inverse.
Priorisation des investissements, mais sont-ils efficaces ?
En se penchant sur les domaines où les clients priorisent leurs investissements en cybersécurité, l’enquête a révélé quelques surprises quant à leur efficacité perçue.
Prenons l’aspect abordé plus haut concernant l’OT et l’IT. Près d’une personne interrogée sur trois (30 %) déclare avoir déjà investi dans « la priorisation des ressources IT et OT à protéger et des vulnérabilités à corriger », et 33 % affirme que ce domaine sera l’objet des investissements les plus conséquents sur les deux prochaines années. Cependant, seules 9 % citent ce champ d’action comme la mesure la plus efficace à prendre.
En revanche, « l’application de principes Zero-trust », un domaine où une proportion comparable des participants a déjà investi (29 %), est jugée deux fois plus efficace pour consolider la cybersécurité (18 % la considérant comme le domaine d’investissement le plus efficace).
Il semble donc qu’une opportunité s’ouvre pour les intégrateurs de systèmes sur ce thème. Là où 18 % des personnes interrogées considèrent que « le développement et la mise en œuvre d’un programme de gestion du risque tiers » est la mesure la plus efficace, seules 23 % ont déjà investi dans ce domaine.
Un mot sur les cadres d’évaluation de la cybersécurité
L’enquête a demandé aux participants de citer les cadres normatifs qu’ils utilisent pour évaluer leurs stratégies de cybersécurité. Presque la moitié des personnes interrogées (48 %) déclarent se baser sur les normes ISO 27001 et 27002, avec les contrôles CIS (Center for Internet Security) en tête de liste (45 %), suivis de près par le NIST Cybersecurity Framework (CSF) et les contrôles NIST 800-53 (32 % et 40 % respectivement). Même si le NIST CSF est un cadre de gestion du cyber-risque relativement nouveau, les résultats montrent qu’il suit de très près la norme ISO 27001 en termes d’adoption par les entreprises au niveau mondial. Cette information ne manque pas d’intérêt.
Appropriation des questions de cybersécurité des objets connectés
L’enquête de ThoughtLab montre clairement que la prolifération des dispositifs connectés de sécurité physique se traduit par une hausse associée du cyber-risque. Mais malgré les effets délétères des violations de sécurité, notamment atteinte à la réputation, perturbation de l’activité, interruptions dues aux pannes système, manque à gagner direct et amendes potentielles, il semble que ce thème ne suscite toujours pas l’attention qu’il mérite.
En tant que fournisseur de caméras de surveillance connectées et de technologies connexes, Axis joue son rôle avec sérieux au niveau de la cybersécurité. Ses innovations dans les fonctions de cybersécurité intégrée, comme l’ID de dispositif Axis, Axis Edge Vault, la signature de firmware, l’amorçage sécurisé et d’autres, contribuent à protéger l’intégrité des dispositifs Axis sur le réseau.
Par ailleurs, nous collaborons étroitement avec nos partenaires et nos clients pour veiller à l’application des bonnes pratiques de cybersécurité tout au long de la chaîne de valeur et du cycle de vie de nos produits. AXIS Device Manager et AXIS Device Manager Extend demeurent les solutions idéales pour gérer et préserver les caractéristiques de cybersécurité des produits Axis.
Plus que jamais, la cybersécurité est un parcours et non une destination.