Cybersécurité : 51% des RSSI français préfèrent risquer une intrusion plutôt que faire appel à des hackers éthiques

0

Selon une étude HackerOne, 51 % des RSSI français préfèreraient courir le risque d’avoir des vulnérabilités dans leur système plutôt que d’inviter des hackers inconnus à les trouver. Un résultat surprenant mais néanmoins encourageant en comparaison de nos voisins en Allemagne ou au Royaume-Uni, qui seraient respectivement 59 % et 62 % à faire le même choix. 

Menée auprès de 600 RSSI en France, en Allemagne et au Royaume Uni, cette enquête a également pour objectif de comprendre les principales préoccupations des leaders européens de la sécurité, dans un contexte où l’un des plus grands challenges reste de déterminer si les stratégies et outils mis en place fournissent le niveau de sécurité nécessaire.

L’étude révèle notamment que malgré un nombre important de préoccupations (innovation entravée par la crainte d’un problème de sécurité, manque de compétences et de budgets), 57 % des RSSI européens préfèrent courir le risque d’avoir des vulnérabilités dans leur système plutôt que d’inviter des hackers inconnus à les trouver. Si les RSSI ont bien conscience que les vulnérabilités logicielles sont une menace majeure pour leur organisation, il leur reste encore un peu de chemin à parcourir pour intégrer une véritable approche offensive au sein de leur stratégie de cybersécurité.

Hugues Masselin, Consultant en bug bounty au sein de HackerOne commente : “Il semble normal de constater encore certaines réticences ; la sécurité offensive est encore un marché émergent en Europe et certains mythes subsistent. Il est donc primordial de poursuivre l’évangélisation et de démontrer les bénéfices du hacking éthique. Ne pas chercher à trouver des vulnérabilités dans ses systèmes de manière proactive revient à appliquer la politique de l’autruche. Avec ce genre d’attitude, une vulnérabilité peut rester exploitée longtemps, à l’insu de l’organisation, et faire de nombreux dégâts.” 

Principaux résultats de l’enquête :

Préoccupations des RSSI

  • Près de neuf RSSI sur dix (87 % des répondants en France, 86 % en moyenne en Europe) affirment que l’innovation technologique au sein de leur entreprise est entravée par la crainte d’un problème de sécurité. 
  • 48 % des RSSI européens (46 % en France) déclarent que leur organisation passe trop de temps à gérer les problèmes de sécurité dans les codes logiciels. 
  • 64 % des RSSI européens (68 % en France, 63 % au Royaume-Uni et 60 % en Allemagne) affirment que leur équipe n’est pas suffisamment dimensionnée pour suivre le rythme de développement de leur organisation. 
  • 83 % des RSSI européens (90% au Royaume-Uni, 88 % en France et 80 % en Allemagne) considèrent les vulnérabilités logicielles comme une menace importante pour leur organisation.

Maturité des RSSI en matière de sécurité offensive

  • 57 % des RSSI européens préfèrent courir le risque d’avoir des vulnérabilités dans leur système plutôt que d’inviter des hackers inconnus à les trouver. Les français semblent les plus enclins à initier des programmes de divulgation de vulnérabilités puisque “seuls” 51 % des répondants français partagent cette opinion (contre 59 % en Allemagne et 62 % au Royaume-Uni).
  • 45 % des RSSI européens (65 % au Royaume-Uni, 39 % en Allemagne et 30 % en France) admettent que les tests d’intrusion ne fournissent pas de résultats suffisants pour suivre le rythme du développement des solutions. Les RSSI français semblent les plus optimistes quant à leur appréciation des bénéfices de tels outils puisque près d’un RSSI français sur cinq (21 % des répondants en France) estime que les pentests fournissent des résultats suffisants pour suivre le rythme du développement (un sentiment partagé par seulement 11 % des RSSI au Royaume-Uni et 4 % en Allemagne).
  • Seuls 26 % des RSSI européens se sentent prêts à accepter les soumissions de bugs de l’ensemble de la communauté de hackers (17 % au Royaume-Uni, 23 % en France, 36 % en Allemagne). Sans surprise, ce score augmente (jusqu’à 40 % en France) à l’idée de collaborer uniquement avec des hackers certifiés.
  • 54 % des RSSI européens ne sont pas à l’aise à l’idée de collaborer avec des hackers ayant un passé criminel. Les RSSI français semblent moins regardants que leurs voisins sur le sujet, avec seulement 44 % de RSSI qui partagent cette opinion, contre 55 % en Allemagne et jusqu’à 62 % au Royaume-Uni.  
  • Le manque de budget empêche 26% des RSSI européens de mener à bien un programme de sécurité offensive (17 % en France, 22 % au Royaume-Uni, 32 % en Allemagne). 
  • 35 % des RSSI européens se sentent globalement freinés par un manque de budget et de compétences pour avancer (30 % en France, 34 % au Royaume-Uni et 40 % en Allemagne).

About Author

Globb Security France

Leave A Reply