En revanche, il existe encore un écart entre la complexité de l’environnement (hybride, SaaS, multi-cloud) et la maturité des contrôles d’identité. De même, de nombreuses organisations n’appliquent toujours pas systématiquement des contrôles intelligents des privilèges, tandis que la nécessité d’automatiser le cycle de vie des identités et des autorisations indique que les investissements actuels ne sont pas toujours suffisants ou bien ciblés.
Et non seulement cet écart existe, mais il existe également un écart culturel, comme le souligne Salvador Sánchez Taboada. « De nombreuses équipes de direction considèrent la cybersécurité comme une dépense et non comme une bouée de sauvetage », reconnaît-il. En Espagne et en Amérique latine, nous travaillons à changer cette vision, en nous appuyant sur l’intégration, grâce à l’IA, entre les plans de risque existants et les nouvelles menaces : investir dans la résilience, c’est comme investir dans de bonnes fondations avant de construire une maison. « Chaque changement de cycle nous rappelle que l’invisible, comme la fondation, soutient tout ce à quoi nous valorisons. »
L’augmentation des dépenses « est souvent orientée vers le battage médiatique sur l’IA et les solutions marketing soi-disant miraculeuses, plutôt que vers la réponse aux risques réels », affirme Martin Zugec. C'est pourquoi il pense que les attaquants ont évolué vers des techniques plus simples et plus difficiles à détecter, comme LOTL ou ClickFix, qui utilisent des outils système légitimes et les interactions des utilisateurs comme armes pour contourner les couches de sécurité.
« Ce décalage entre l'endroit où les défenseurs investissent et la manière dont les attaquants évoluent est une tendance dangereuse, clairement visible lorsque l'on compare les résultats d'enquêtes médico-légales réelles avec les récits popularisés dans les réseaux professionnels. Ce décalage est imprudent », prévient-il.
Priorités du RSSI
Dans ce contexte, les RSSI sont contraints de repenser continuellement leurs stratégies de défense. « Au-delà de disposer d’équipes internes solides et d’outils de prévention adéquats, il est de plus en plus nécessaire de compléter ces capacités avec des partenaires technologiques de confiance et des assureurs capables de gérer le cyber-risque de manière plus holistique », explique Vincent Nguyen, directeur de la cybersécurité chez Stoïk.
À mesure que les attaquants professionnalisent et font évoluer leurs opérations, Nguyen estime qu’une défense efficace nécessite une approche proactive et intégrée combinant des solutions avancées de cybersécurité, le transfert des risques via la cyber-assurance et un soutien opérationnel lorsqu’un incident survient. « Des partenaires stratégiques ayant une vision interfonctionnelle du risque peuvent accompagner les organisations avant, pendant et après une attaque, renforçant ainsi la résilience sans remplacer le leadership en matière de sécurité interne », ajoute-t-il.
Quoi qu’il en soit, Martín Trullas reconnaît qu’il n’existe pas une seule stratégie gagnante pour le RSSI, mais plutôt un ensemble de stratégies différentes axées sur différents domaines. “D'une part, il est nécessaire de renforcer la sécurité de l'identité, car elle peut devenir une porte d'entrée pour des attaques plus graves. Et cette sécurité de l'identité ne doit plus être comprise uniquement comme 'l'identité humaine', mais doit également se concentrer sur l'identité des appareils connectés, qui peuvent également devenir des vecteurs d'attaque”, explique-t-il.
« Parallèlement, il est nécessaire de mettre en œuvre des changements d'organisation et de mentalité au sein de l'entreprise : une gouvernance adéquate, une formation à la cybersécurité pour tous les salariés, la promotion des meilleures pratiques pour réduire les risques et une culture de proactivité pour réduire les délais de détection et de réponse en cas d'attaque. L'ensemble de l'entreprise doit être impliqué dans ces processus, car laisser la cybersécurité sous la responsabilité exclusive du RSSI ou du service en charge est une erreur qui peut coûter très cher.
Bien entendu, cela nécessite que les RSSI disposent de ressources adéquates. « Et ce n'est pas facile pour eux, avec des attentes souvent irréalistes qui provoquent des signes d'épuisement », explique Fernando Anaya, directeur général de Proofpoint pour l'Espagne et le Portugal.
Anaya cite ces données : « En Espagne, 51 % des responsables de la sécurité déclarent qu'ils ne disposent toujours pas des moyens nécessaires pour atteindre leurs objectifs. De même, il est crucial de renforcer les capacités de réponse aux incidents, d'autant plus qu'un tiers des organisations espagnoles admettent ne pas être préparées. travailler à s’aligner stratégiquement sur les conseils d’administration de leurs organisations, en recherchant une vision commune qui garantit le soutien nécessaire et une prise de décision appropriée.
Dans le même temps, Abraham Vázquez estime qu'il sera essentiel d'avancer vers zéro–modèles de confiance et renforcement du périmètre, éliminant les VPN existants et accélérant les processus de mise à jour des correctifs dans bord environnements, tout en garantissant une résilience éprouvée grâce à des sauvegardes immuables et des environnements de récupération isolés. « L'automatisation de la détection et de la réponse, soutenue par les plateformes SOAR et IA, permettra de boucler efficacement la boucle entre la détection et le confinement, réduisant ainsi efficacement les temps de réponse. À cela s'ajoute la nécessité d'une gestion plus mature des tiers et de la chaîne d'approvisionnement, basée sur une évaluation continue de la posture de cybersécurité et une télémétrie minimale mais pertinente.
« Il sera essentiel de mener des exercices internes de gestion de crise qui envisagent des scénarios réalistes, tels que des attaques de ransomware sans paiement, des fraudes via des deepfakes de gestion ou des pannes de fournisseurs critiques. »
