La moitié des attaques contre des organisations ayant entraîné de graves perturbations de l'activité sont le fait de récidivistes, selon Team Cymru

Selon une nouvelle étude réalisée par Ponemon pour le compte de la société de renseignement sur les menaces Team Cymru, la moitié des attaques contre des organisations ayant entraîné de graves perturbations de l'activité étaient le fait de récidivistes.


De plus, 61 % des victimes de ces attaques affirment qu'elles n'ont pas été en mesure de remédier à ces compromissions, laissant des systèmes et des données critiques en danger.

L'étude a interrogé près de 1 800 responsables et praticiens de la cybersécurité et seuls 35 % des répondants affirment utiliser efficacement leurs analystes de sécurité, ce qui témoigne d'un manque de maturité en matière de chasse aux menaces.

La chasse aux menaces, en particulier la chasse aux menaces externes, a permis aux organisations de sécurité plus sophistiquées d'identifier et de bloquer les attaques imminentes, d'augmenter la détection des menaces et de réaliser une remédiation complète. Pourtant, la majorité des répondants affirment que leurs organisations n'allouent pas suffisamment de ressources pour réaliser le plein potentiel de leurs équipes d'analystes et de la détection des menaces. Les résultats indiquent que le budget moyen 2021 des organisations interrogées pour les opérations informatiques est de 117 millions de dollars. Une moyenne de 19 % de ce montant est allouée à la sécurité informatique et, sur ce montant, seulement une moyenne de 22 % est allouée aux activités d'analyse et de renseignement sur les menaces.

"Les dirigeants de l'informatique et de la cybersécurité s'appuient souvent sur l'apprentissage automatique et l'automatisation pour gagner en efficacité, considérant la chasse aux menaces comme une fonction tactique et réactionnaire ", explique David Monnier, fellow de Team Cymru. "Cependant, d'après notre expérience, les organisations qui parviennent à devancer les menaces, tant en interne que dans l'ensemble de leurs écosystèmes tiers, ont consacré une proportion significative du budget pour faire de la chasse aux menaces externes une priorité stratégique."

Les résultats montrent également des points de vue différents sur la nature de la détection des menaces. Seuls 24 % d'entre eux considèrent que la chasse aux menaces consiste à regarder au-delà des frontières de l'entreprise pour surveiller les agents de la menace et identifier les attaques imminentes. La plupart considèrent la chasse aux menaces comme une méthode réactive de détection des menaces internes, à la recherche d'activités malveillantes déjà installées. Cependant, 62 % des organisations augmentent leurs investissements dans les analystes et les renseignements sur les menaces.

Nom : cymru.png
Affichages : 1081
Taille : 3,3 Ko

Les trois principaux types de données de renseignement dont les répondants disent disposer sont les données du dark web (47 %), les données d'enregistrement de domaine (42 %) et la télémétrie des points d'extrémité (42 %). Mais 61 % reconnaissent que les renseignements sur les menaces ne peuvent pas suivre l'évolution de la façon dont les acteurs de la menace attaquent leurs organisations. En outre, bien qu'ils sachent que les sources traditionnelles de renseignements sur les menaces fournissent des informations périmées, seuls 31 % des répondants affirment que la télémétrie du trafic Internet brut est importante pour leur capacité à planifier des mesures préventives, à détecter les menaces et à résoudre les incidents de sécurité.

"Si cette statistique est une représentation exacte, elle est décevante", déclare Monnier. "Alors que les organisations développent leurs équipes d'analystes et leurs capacités de renseignement, elles obtiendront un bien meilleur retour sur investissement si elles donnent à ce groupe la visibilité dont il a besoin pour tracer, cartographier et surveiller l'infrastructure de ceux qui l'attaquent et ses interactions avec les actifs de l'entreprise ou de tiers."

Source : Team Cymru

Et vous ?

Que pensez-vous de cette étude ? La trouvez-vous pertinente ?
Comment votre entreprise procède-t-elle aux détections de menace ?
Avez-vous déjà été victime plusieurs fois d'un même attaquant ?

Voir aussi :

Deux tiers des RSSI dans le monde ne se sentent pas prêts à gérer une cyberattaque, considérant le facteur humain comme la principale vulnérabilité, selon un rapport de Proofpoint

Plus de la moitié des cyberattaques s'infiltrent dans des environnements de production sans être détectées, selon un rapport

Censuswide : près de la moitié des victimes de ransomware sont à nouveau touchées par le même attaquant, après avoir payé la première rançon