Ceci selon une enquête sur la maturité des RSSI européens en matière de sécurité offensive, menée par HackerOne qui vient d'en présenter les résultats. L'enquête a été réalisée auprès de 600 RSSI en France, en Allemagne et au Royaume Uni. Cette enquête aviat également pour objectif de comprendre les principales préoccupations des leaders européens de la sécurité, dans un contexte où l’un des plus grands challenges reste de déterminer si les stratégies et outils mis en place fournissent le niveau de sécurité nécessaire.

L’étude révèle notamment que malgré un nombre important de préoccupations (innovation entravée par la crainte d’un problème de sécurité, manque de compétences et de budgets), 57 % des RSSI européens préfèrent courir le risque d’avoir des vulnérabilités dans leur système plutôt que d’inviter des hackers inconnus à les trouver. Si les RSSI ont bien conscience que les vulnérabilités logicielles sont une menace majeure pour leur organisation, il leur reste encore un peu de chemin à parcourir pour intégrer une véritable approche offensive au sein de leur stratégie de cybersécurité.

Hugues Masselin, Consultant en bug bounty au sein de HackerOne commente : “Il semble normal de constater encore certaines réticences ; la sécurité offensive est encore un marché émergent en Europe et certains mythes subsistent. Il est donc primordial de poursuivre l’évangélisation et de démontrer les bénéfices du hacking éthique. Ne pas chercher à trouver des vulnérabilités dans ses systèmes de manière proactive revient à appliquer la politique de l’autruche. Avec ce genre d’attitude, une vulnérabilité peut rester exploitée longtemps, à l’insu de l’organisation, et faire de nombreux dégâts.”

Principaux résultats de l’enquête :

Préoccupations des RSSI

• Près de neuf RSSI sur dix (87 % des répondants en France, 86 % en moyenne en Europe) affirment que l’innovation technologique au sein de leur entreprise est entravée par la crainte d’un problème de sécurité.
• 48 % des RSSI européens (46 % en France) déclarent que leur organisation passe trop de temps à gérer les problèmes de sécurité dans les codes logiciels.
• 64 % des RSSI européens (68 % en France, 63 % au Royaume-Uni et 60 % en Allemagne) affirment que leur équipe n’est pas suffisamment dimensionnée pour suivre le rythme de développement de leur organisation.
• 83 % des RSSI européens (90% au Royaume-Uni, 88 % en France et 80 % en Allemagne) considèrent les vulnérabilités logicielles comme une menace importante pour leur organisation.

Maturité des RSSI en matière de sécurité offensive

• 57 % des RSSI européens préfèrent courir le risque d’avoir des vulnérabilités dans leur système plutôt que d’inviter des hackers inconnus à les trouver. Les français semblent les plus enclins à initier des programmes de divulgation de vulnérabilités puisque “seuls” 51 % des répondants français partagent cette opinion (contre 59 % en Allemagne et 62 % au Royaume-Uni).
• 45 % des RSSI européens (65 % au Royaume-Uni, 39 % en Allemagne et 30 % en France) admettent que les tests d’intrusion ne fournissent pas de résultats suffisants pour suivre le rythme du développement des solutions. Les RSSI français semblent les plus optimistes quant à leur appréciation des bénéfices de tels outils puisque près d’un RSSI français sur cinq (21 % des répondants en France) estime que les pentests fournissent des résultats suffisants pour suivre le rythme du développement (un sentiment partagé par seulement 11 % des RSSI au Royaume-Uni et 4 % en Allemagne).
• Seuls 26 % des RSSI européens se sentent prêts à accepter les soumissions de bugs de l'ensemble de la communauté de hackers (17 % au Royaume-Uni, 23 % en France, 36 % en Allemagne). Sans surprise, ce score augmente (jusqu’à 40 % en France) à l’idée de collaborer uniquement avec des hackers certifiés.
• 54 % des RSSI européens ne sont pas à l'aise à l’idée de collaborer avec des hackers ayant un passé criminel. Les RSSI français semblent moins regardants que leurs voisins sur le sujet, avec seulement 44 % de RSSI qui partagent cette opinion, contre 55 % en Allemagne et jusqu’à 62 % au Royaume-Uni.  
• Le manque de budget empêche 26% des RSSI européens de mener à bien un programme de sécurité offensive (17 % en France, 22 % au Royaume-Uni, 32 % en Allemagne).
• 35 % des RSSI européens se sentent globalement freinés par un manque de budget et de compétences pour avancer (30 % en France, 34 % au Royaume-Uni et 40 % en Allemagne).

Un client HackerOne et RSSI au sein d'un détaillant international dans le secteur de la santé/beauté a déclaré : "Je comprends parfaitement la réaction naturelle de prudence, mais à l’épreuve des faits, les méthodes traditionnelles de cybersécurité ne suffisent pas. Les RSSI se trouvent dans une position délicate, ils doivent s'ouvrir à l'innovation tout en restant garants de la cybersécurité. Les stratégies de sécurité doivent suivre le rythme de l’évolution du paysage de la menace. En travaillant avec des hackers éthiques, les organisations ont la liberté de travailler sur de nouveaux projets, de lancer de nouvelles applications et d'essayer différentes méthodes de travail, tout en gardant l'esprit tranquille grâce à des tests continus. Grâce au hacking éthique, les vulnérabilités peuvent être corrigées immédiatement".

Méthodologie

L'enquête a été menée par Opinion Matters auprès de 600 RSSI et directeurs techniques (200 au Royaume Uni, 200 en France et 200 en Allemagne) entre le 31 décembre 2019 et le 7 janvier 2020. Les résultats permettent de révéler quels sont les risques les plus importants pour les entreprises, quels sont les domaines qui entravent la croissance et quelles technologies les personnes interrogées sont susceptibles de mettre en œuvre pour surmonter ces difficultés.