Investissements dans la cybersécurité : Pleins feux sur la gestion des vulnérabilités

Le nouveau rapport de l'Agence européenne pour la cybersécurité (ENISA) confirme que les investissements continuent de croître, mais souligne l'importance de la gestion des vulnérabilités.

Malgré une augmentation de 25 % du coût des cyber incidents majeurs en 2022 par rapport à 2021, le nouveau rapport sur les investissements dans la cybersécurité révèle une légère augmentation de 0,4 % du budget informatique consacré à la cybersécurité par les opérateurs de l'UE relevant de la directive NIS.

Cependant, si les organisations sont enclines à allouer davantage de budget à la cybersécurité, 47 % du total des organisations interrogées ne prévoient pas d'embaucher des équivalents temps pleins (ETP) pour la sécurité de l'information au cours des deux prochaines années. En outre, 83 % de ces organisations font état de difficultés de recrutement dans, au moins, un domaine de la sécurité de l'information. Ces problèmes de recrutement, qui apparaissent dans le rapport, pourraient être l'un des facteurs à l'origine de la gestion des vulnérabilités.

En effet, une analyse des correctifs apportés aux actifs informatiques et électroniques critiques dans le secteur des transports montre que 51 % des organisations du secteur des transports ont besoin d'un mois pour corriger les vulnérabilités critiques et 21 % ont besoin d'un délai compris entre un mois et six mois. Seules 28 % des organisations interrogées corrigent les vulnérabilités critiques des actifs essentiels en une semaine.

Juhan Lepassaar, directeur exécutif de l'Agence européenne pour la cybersécurité, a déclaré : "L'allocation de ressources budgétaires et humaines suffisantes à la cybersécurité est la clé de notre succès : "L'allocation de ressources budgétaires et humaines suffisantes à la cybersécurité est la clé de notre succès. La gestion des vulnérabilités est essentielle et doit aller de pair avec des initiatives de "sécurisation dès la conception". En attendant, nous devons continuer à investir dans des domaines tels que l'identification, la gestion et le signalement des vulnérabilités qui peuvent avoir un impact sur la sécurité de l'ensemble du marché unique numérique."

 

Objectif du rapport sur les investissements dans la cybersécurité

Le nouveau rapport étudie la manière dont les opérateurs investissent dans la cybersécurité et se conforment aux objectifs de la directive NIS. Recueillies auprès de 1 080 opérateurs de services essentiels (OES) et fournisseurs de services numériques (DSP) des 27 États membres de l'UE, les données s'appliquent à l'année de référence 2022.

Champ d'application du rapport

Pour les besoins de l'analyse publiée aujourd'hui, l'enquête a porté sur les opérateurs de services essentiels et les fournisseurs de services numériques tels qu'ils sont définis dans la directive de l'Union européenne sur les systèmes de sécurité des réseaux et de l'information (directive NIS). L'objectif du rapport était de déterminer comment les organisations investissent dans la cybersécurité afin de répondre aux exigences fixées par la directive NIS initiale.

Cependant, le concept d'investissement s'étend également à l'élément humain. 2023 est l'année européenne des compétences. C'est pourquoi un accent particulier a été mis sur le thème des compétences en matière de cybersécurité parmi les OES et les DSP, ainsi que sur l'embauche de personnel dans le domaine de la cybersécurité et l'équilibre entre les hommes et les femmes.

Le rapport se penche donc sur la dotation en personnel de sécurité informatique et l'organisation de la sécurité de l'information par les OES et les DSP, en mettant l'accent sur le secteur des transports.

Principales conclusions :

• La part du budget informatique des OES/DSP consacrée à la cybersécurité a atteint 7,1 % en 2022, soit une augmentation de 0,4 % par rapport à 2021 ;
• 42 % des OES/DSP ont souscrit à une solution d'assurance cyber dédiée en 2022, ce qui représente une augmentation de 30 % par rapport à 2021. Les PME ne sont encore que 13 % à souscrire à une cyber-assurance ;
• Les OES/DSP allouent 11,9 % de leurs ETP informatiques à la sécurité de l'information (SI), soit une baisse de 0,1 % ;
• Les OES/DSP emploient en moyenne 11 % de femmes dans les ETP consacrés à la sécurité de l'information. La médiane étant de zéro pour cent, la plupart des organisations interrogées n'emploient pas de femmes dans leurs ETP de sécurité de l'information ;
• 47% des OES ou DSP ne prévoient pas d'embaucher des ETP en sécurité de l'information au cours des deux prochaines années ;
• Les organisations qui prévoient d'engager des ETP en sécurité de l'information au cours des deux prochaines années visent à engager 2 ETP, avec une moyenne de 4 ETP, mais 83 % des organisations interrogées font état de difficultés de recrutement dans, au moins, un domaine de la sécurité de l'information ;
• La directive NIS est le principal moteur des investissements dans la cybersécurité pour 55 % des OES du secteur des transports ;
• 51 % des organisations de transport gèrent la sécurité des technologies de l'information avec la même unité ou le même personnel que la cybersécurité des technologies de l'information.

Gestion de la vulnérabilité

La gestion des vulnérabilités décrit le processus d'identification et d'évaluation du risque associé aux vulnérabilités de sécurité afin d'en résoudre la cause avant qu'elles ne puissent être exploitées ou de réduire intelligemment le risque en mettant en œuvre des mesures d'atténuation adéquates.

La gestion des vulnérabilités et la disponibilité des correctifs protègent les utilisateurs finaux et contribuent à garantir l'application de la sécurité tout au long du cycle de vie d'un produit. L'édition 2022 du rapport NIS Investments a révélé que pour 46 % des organisations interrogées, il faut plus d'un mois pour corriger les vulnérabilités critiques. L'amélioration de l'interopérabilité, l'automatisation et la rationalisation des processus d'échange d'informations peuvent grandement contribuer à garantir la divulgation des vulnérabilités. Dans le même temps, les fournisseurs doivent disposer des outils, des processus et du personnel appropriés pour mettre en œuvre des pratiques de conception sécurisée afin de réduire le risque pour les utilisateurs, tandis que les organisations sont chargées de réduire le délai entre la divulgation des vulnérabilités et leur correction en mettant en place des outils pour le partage automatisé des informations sur les vulnérabilités.

Coordination et base de données de l'UE sur les vulnérabilités

Le NIS2 établit un cadre de base avec les acteurs clés responsables de la divulgation coordonnée des vulnérabilités nouvellement découvertes dans l'UE et crée une base de données de vulnérabilités de l'UE pour les vulnérabilités connues publiquement dans les produits et services TIC, qui sera gérée et maintenue par l'agence de l'UE pour la cybersécurité (ENISA). La combinaison des efforts nationaux et européens constituera la base d'un écosystème mature de divulgation des vulnérabilités au sein de l'UE. Surtout, ces initiatives contribueront à améliorer le paysage de la gestion des vulnérabilités.

Le cadre politique de l'UE en matière de cybersécurité comprend un certain nombre de propositions de dossiers politiques. Il s'agit notamment de la loi sur la résilience cybernétique (CRA) et de la loi sur la solidarité cybernétique (CSoA), qui contiennent des dispositions visant à améliorer la gestion de la vulnérabilité dans l'UE, telles que des mesures supplémentaires garantissant la qualité des produits et des services qui contribueront à l'application des aspects liés à la sécurité tout au long du cycle de vie du produit.

Contexte

L'objectif de la directive sur la sécurité des réseaux et des systèmes d'information (directive NIS) est de parvenir à un niveau commun élevé de cybersécurité dans tous les États membres. La directive révisée connue sous le nom de NIS2 est entrée en vigueur le 16 janvier 2023 et a étendu le champ d'application à de nouveaux secteurs économiques.

L'un des trois piliers de la directive NIS est la mise en œuvre de la gestion des risques et des obligations de déclaration pour les OES et les DSP.

Les OES fournissent des services essentiels dans les secteurs stratégiques de l'énergie (électricité, pétrole et gaz), du transport (aérien, ferroviaire, fluvial et routier), de la banque, des infrastructures des marchés financiers, de la santé, de l'approvisionnement et de la distribution d'eau potable, et de l'infrastructure numérique (points d'échange Internet, fournisseurs de services de systèmes de noms de domaine, registres de noms de domaine de premier niveau).

Les DSP opèrent dans un environnement en ligne, à savoir les marchés en ligne, les moteurs de recherche en ligne et les services d'informatique en nuage.

Le rapport examine comment les opérateurs investissent dans la cybersécurité et se conforment aux objectifs de la directive NIS. Il donne également un aperçu de la situation en ce qui concerne des aspects tels que la dotation en personnel pour la sécurité informatique, la cyberassurance et l'organisation de la sécurité de l'information dans les OES et les DSP.

Informations complémentaires à télécharger :

• NIS Investissements - Rapport de l'ENISA 2023
• NIS Investissements - Rapport ENISA 2022
• Sujet ENISA - Directive NIS
• Directive relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l'Union (NIS2)

Source : ENISA