Sécurité offensive : quel est le niveau de maturité des RSSI européens ?

Reste à mesurer si les stratégies et outils mis en place fournissent le niveau de sécurité nécessaire.

Intégrer une approche offensive dans la stratégie de cybersécurité

Face aux nombreuses préoccupations, 57 % des RSSI européens préfèrent courir le risque d’avoir des vulnérabilités dans leur système plutôt que d’inviter des hackers inconnus à les trouver. Ce chiffre affiche 51% en France, 59 % en Allemagne et 62 % au Royaume-Uni.

Les RSSI sont-ils prêts à intégrer une véritable approche offensive au sein de leur stratégie de cybersécurité ? Selon Hugues Masselin, Consultant en bug bounty au sein de HackerOne “Il semble normal de constater encore certaines réticences ; la sécurité offensive est encore un marché émergent en Europe et certains mythes subsistent. Il est donc primordial de poursuivre l’évangélisation et de démontrer les bénéfices du hacking éthique. Ne pas chercher à trouver des vulnérabilités dans ses systèmes de manière proactive revient à appliquer la politique de l’autruche.”

Les préoccupations des RSSI

Les défis sont évidemment multiples. Mais, qu’est ce qui inquiète plus précisément les RSSI ?

• L’innovation technologique entravée par la crainte d’un problème de sécurité (87 % France – 86 % Europe)
• Le temps passé à gérer les problèmes de sécurité dans les codes logiciels (46% France – 48% Europe)
• Une équipe insuffisamment dimensionnée pour suivre le rythme de développement (68 % France – 64 % Europe)
• Les vulnérabilités logicielles sont une menace importante pour l’organisation 88% France – 83 % Europe)

Tests d’intrusion & Collaboration avec les hackers

Pour les RSSI européens (65 % Royaume-Uni, 39 % Allemagne et 30 % France), les tests d’intrusion ne fournissent pas de résultats suffisants pour suivre le rythme du développement des solutions.

Les RSSI français semblent plus optimistes : pour près d’un RSSI français sur cinq, les pentests donnent des résultats suffisants.

Côté association avec les hackers ? les sentiments sont divers puisque seuls 26 % des RSSI européens accepteraient les soumissions de bugs de la communauté de hackers (17 % Royaume-Uni, 23 % France, 36 % Allemagne). Ce score passe à 40 % en France dès qu’on évoque des hackers certifiés.

Quant à l’idée de collaborer avec des hackers ayant un passé criminel ? 54 % des RSSI européens ne sont pas à l’aise (44 % France, 55 % Allemagne, 62 % Royaume-Uni).

Le manque de budget empêche 26% des RSSI européens de mener à bien un programme de sécurité offensive (17 % France, 22 % Royaume-Uni, 32 % Allemagne). En outre, 35 % des RSSI européens se sentent freinés par un manque de budget et de compétences (30 % France, 34 % Royaume-Uni et 40 % Allemagne).

Source HackerOne et Opinion Matters auprès de 600 RSSI et directeurs techniques (200 au Royaume Uni, 200 en France et 200 en Allemagne) entre le 31 décembre 2019 et le 7 janvier 2020.