Numérisation des processus

81% des grandes entreprises allemandes ont des déficits dans la gestion des vulnérabilités

La régularité et la profondeur des scans de vulnérabilité sont notamment d'une importance capitale à cet égard. Or, c'est précisément dans ce domaine que les entreprises allemandes présentent des lacunes fondamentales qui peuvent avoir de graves conséquences. L'analyse régulière des points faibles de sa propre infrastructure informatique constitue l'un des aspects essentiels pour minimiser les risques de sécurité grâce à une stratégie prévoyante. Ainsi, 45 % des entreprises interrogées analysent quotidiennement leur infrastructure informatique à l'aide d'une solution logicielle et plus d'une sur trois le fait chaque semaine. En revanche, une entreprise allemande sur cinq ne procède à un tel scan qu'une fois par mois (10 %) ou de manière irrégulière sans routine (11 %). 

Il apparaît ici que la régularité d'un scan de sécurité varie fortement en fonction de la taille de l'entreprise ; plus les entreprises sont grandes, plus les scans sont fréquents. En particulier dans les infrastructures informatiques développées et complexes, les analyses de vulnérabilité de routine et continues doivent compléter le concept de sécurité informatique, sans quoi les entreprises risquent d'être victimes de cybercriminels. En collaboration avec ManageEngine, la société de recherche et d'analyse Techconsult s'est penchée sur la question de la gestion des vulnérabilités dans les entreprises allemandes et sur le rôle des solutions logicielles dans ce contexte. Pour ce faire, 150 responsables informatiques d'entreprises d'au moins 2 000 salariés ont été interrogés dans le cadre de l'étude "Gestion efficace des vulnérabilités dans les infrastructures informatiques dynamiques : le traitement des risques de sécurité informatique par les entreprises allemandes" qui vient d'être publiée.

Une solution logicielle globale permet notamment d'optimiser le comblement des failles critiques. Or, il s'avère que seule une entreprise interrogée sur trois (33 %) utilise une solution globale pour analyser, évaluer et corriger les failles.

En revanche, 38 % des entreprises utilisent deux applications séparées pour l'évaluation et la correction, ce qui peut entraîner un processus de correction plus compliqué et plus long. Plus une faille de sécurité reste ouverte longtemps, plus le risque d'attaque est élevé, car les cybercriminels recherchent précisément ces "portes ouvertes". Une entreprise sur dix (11 %) semble toutefois être exposée à un risque élevé permanent. Dans ces entreprises, l'absence totale de solutions logicielles d'assistance et le recours exclusif à l'évaluation et à la correction manuelles des vulnérabilités entraînent non seulement une charge de travail disproportionnée pour les responsables de la sécurité informatique, mais aussi une augmentation des failles de sécurité. L'importance de ces deux facteurs dépend directement de la complexité de l'infrastructure informatique.

Pour réduire l'ampleur d'un éventuel dommage, les entreprises interrogées donnent la priorité aux vulnérabilités identifiées, notamment en fonction de leur potentiel de dommage (54 %) et de leur exploitabilité (47 %). En effet, les vulnérabilités hautement critiques, qui peuvent facilement être exploitées et causer des dommages importants, devraient être comblées immédiatement et en priorité. Parallèlement à cela, la gravité et la vulnérabilité (45 pour cent) ainsi que le nombre de systèmes concernés (43 pour cent) sont souvent utilisés pour établir des priorités. Dans l'optique d'une stratégie de sécurité prédictive, les vulnérabilités devraient être évaluées à l'aide d'un logiciel afin d'établir une priorité fiable et de minimiser ainsi les risques.