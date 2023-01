Selon une étude de SecurityScorecard, 48 % des entreprises de fabrication mondiales essentielles sont exposées à des risques importants de cyberattaque





SecurityScorecard, le leader mondial des évaluations de cybersécurité, a révélé ce jour les résultats de son nouveau rapport, « Addressing the Trust Deficit In Critical Infrastructure » (combler le manque de confiance dans les infrastructures critiques), qui indiquent que 48 % des entreprises de fabrication essentielles ont obtenu la note de « C », « D » ou « F » sur la plateforme d'évaluation de sécurité de SecurityScorecard. Publié durant l'assemblée annuelle du Forum économique mondial (FEM), le rapport s'est penché sur le degré actuel de cyberrésilience dans les secteurs caractérisés par des infrastructures critiques comme l'énergie, les produits chimiques, les soins de santé, etc., tels qu'ils ont été désignés par la CISA (Cybersecurity and Infrastructure Security Agency ou Agence de cybersécurité et de sécurité des infrastructures). Les organisations ayant obtenu la note de sécurité « A » sont 7,7 fois moins susceptibles d'être victimes de violations de données que celles ayant obtenu un « F ».

« Les évaluations de sécurité constituent un baromètre fiable de la cyberrésilience et il est grand temps pour les décideurs politiques et les organisations de rendre obligatoire l'évaluation des cyberrisques », a déclaré Aleksandr Yampolskiy, cofondateur et PDG de SecurityScorecard. « Ces dix dernières années, les cyberattaques se sont aggravées et complexifiées, ciblant de plus en plus souvent des infrastructures critiques et minant la confiance du public dans la cyberrésilience de notre économie mondiale. »

SecurityScorecard propose un ensemble complet d'évaluations de sécurité, d'évaluations automatisées et de conseils prodigués par des experts de ce secteur, notamment par le biais d'un système breveté et facile à comprendre de fiches d'évaluation notées de A à F permettant d'améliorer la communication, de rendre les rapports de conformité plus efficaces et le processus décisionnel plus éclairé.

Selon le Forum économique mondial, seuls 19 % des responsables informatiques affirment avec certitude que leur organisation est cyberrésiliente. SecurityScorecard a récemment rejoint la Communauté mondiale des innovateurs du Forum économique mondial, qui contribue aux activités du Centre d'initiatives en cybersécurité du FEM chargé de s'attaquer aux difficultés systémiques, d'accroître la confiance et de développer la cyberrésilience. Le Dr Yampolskiy participe à l'assemblée annuelle du FEM à Davos afin de sensibiliser les principaux dirigeants des secteurs privés et publics internationaux à la réduction des cyberrisques à l'échelle mondiale, notamment en ce qui concerne les infrastructures critiques.

Les mises à jour correctives des infrastructures critiques ne tiennent pas le rythme des attaques en pleine recrudescence

Jadis relativement rares, les cyberincidents liés aux infrastructures critiques sont devenus bien plus fréquents ces dernières années en raison de l'intensification par certains États-nations et leurs intermédiaires de la poursuite de leurs objectifs géopolitiques. Des données du FBI (Federal Bureau of Investigation) ont montré que 14 des 16 secteurs considérés comme abritant des infrastructures critiques par le gouvernement américain avaient été victimes d'au moins une attaque par rançongiciel en 2021.

SecurityScorecard a évalué ces secteurs pour mesurer leur degré actuel de cyberrésilience. Après avoir analysé toutes les organisations appartenant à la catégorie des infrastructures critiques et figurant dans le classement Forbes Global 2000, la conclusion est sans appel : ces organisations sont extrêmement vulnérables. Lorsqu'elle évalue la sécurité d'une organisation, SecurityScorecard prend dix facteurs en considération. Parmi ces dix facteurs, le rythme des mises à jour correctives des entreprises de fabrication essentielles est celui qui a enregistré un résultat nettement moins bon entre 2021 et 2022, passant de 88 (B) à 76 (C).

Les vulnérabilités et expositions habituelles (CVE) très et moyennement graves grèvent les ressources

Ce ralentissement des mises à jour correctives est probablement dû à la hausse du volume de vulnérabilités. Sur douze mois, les entreprises de fabrication essentielles ont enregistré une augmentation de 38 % des vulnérabilités très graves. Pour la seule année 2022, 76 % des organisations de ce type ont été confrontées à des CVE très graves et moyennement graves.

Dans certains cas, ces CVE peuvent faciliter le ciblage d'organisations du même secteur par des groupes de rançonneurs. De 2021 à 2022, les entreprises manufacturières ont enregistré une augmentation des infections par logiciels malveillants. En 2022, 37 % des organisations à infrastructures critiques ont dû faire face à ce type d'infections.

« Alors qu'investir davantage dans la technologie peut sembler contraignant aux yeux des opérateurs d'infrastructures critiques en mal de ressources, il est indéniable que les technologies d'évaluation de la cybersécurité sont extrêmement rentables, surtout au vu du coût phénoménal associé aux violations de données, qui se chiffre en moyenne à 9,44 millions USD par incident pour les organisations américaines », a ajouté le Dr Yampolskiy. « En ayant recours aux évaluations de sécurité, ces organisations disposent d'un moyen simple pour développer la résilience et prendre des décisions plus informées en vue de renforcer leurs cyberdéfenses grâce à une évaluation des risques fiable et à la quantification de la crédibilité de leurs partenaires, sous-traitants, chaînes logistiques, fournisseurs tiers et fournisseurs de fournisseurs. »

Pour accéder à l'intégralité de l'étude, rendez-vous sur https://resources.securityscorecard.com/davos-2023/addressing-the-trust-deficit.

