Rapport : Les institutions financières sont débordées face aux menaces croissantes liées à la sécurité des micrologiciels et à la chaîne d'approvisionnement

Republié par Platon

Suiveurs: 0

Portland, Oregon – 23 août 2022
- Éclypsium^®
ainsi que Vanson Bourne a publié aujourd'hui un nouveau rapport qui révèle que le secteur financier est mal équipé pour faire face efficacement à la menace persistante des attaques de la chaîne d'approvisionnement liées aux micrologiciels. En fait, 92 % des RSSI du secteur financier estiment que les adversaires sont mieux équipés pour armer les micrologiciels que leurs équipes pour le sécuriser. De plus, trois personnes sur quatre reconnaissent un manque de sensibilisation concernant l’angle mort du micrologiciel de l’organisation. Par conséquent, 88 % des personnes interrogées admettent avoir subi une cyberattaque liée au micrologiciel au cours des deux dernières années seulement.

La sécurité des micrologiciels dans les chaînes d’approvisionnement des services financiers Le rapport partage les idées de 350 décideurs en matière de sécurité informatique dans le secteur financier, en particulier ceux basés aux États-Unis, au Canada, à Singapour, en Australie, en Nouvelle-Zélande et en Malaisie. Les résultats exposent non seulement l’état de la sécurité du micrologiciel et le manque de contrôles préventifs ou de tactiques correctives, mais mettent également en lumière la complaisance et le manque de sensibilisation à l’égard des mesures de sécurité actuelles. Plus alarmant est le consensus autour d’un manque ou d’un manque d’investissements ou de ressources dédiées, et d’un manque général de compétences pour faire face à l’une des plus grandes menaces actuelles en matière de cybersécurité. Les données montrent :

Plus de la moitié (55 %) ont été victimes d'une compromission au niveau du micrologiciel plus d'une fois au cours des deux dernières années.
Près de quatre personnes sur dix citent la perte de données (et une violation du RGPD) comme principale conséquence d'une attaque ; la crainte de perdre les contrôles de sécurité critiques est également au premier rang.
La destruction d'appareils critiques (35 %), la perte de clients (34 %) et l'accès d'un adversaire à d'autres appareils (34 %) ont tous été également notés comme un impact néfaste suite à une attaque liée au micrologiciel.

« Les organisations de services financiers sont les principales cibles des cyberattaques. Cela explique pourquoi ils sont à l’avant-garde dans l’adoption de nouvelles technologies de protection, tout en étant sous l’œil vigilant constant des régulateurs et d’autres industries qui attendent de suivre leur exemple dans leur lutte contre des vecteurs d’attaque en constante évolution. Pourtant, dans le cas de la sécurisation des micrologiciels et de la chaîne d’approvisionnement en matériel, nous constatons des angles morts potentiels », a déclaré Ramy Houssaini, Global Cyber Resilience Executive. « Un changement de priorités est essentiel si nous voulons protéger efficacement la chaîne d’approvisionnement technologique. Les organisations financières doivent continuer à jouer le rôle de pionnières et combler les lacunes en matière de sécurité des micrologiciels.

Les organisations financières manquent d’informations sur les risques liés aux micrologiciels pour agir

Selon le National Institute of Standards and Technology (NIST), les attaques au niveau des micrologiciels ont augmenté de 500 % depuis 2018, mais 93 % des personnes interrogées sont surprises par le manque d'informations sur les menaces actuelles des micrologiciels. Au cours des huit derniers mois seulement, Eclypsium Research a découvert d'importantes menaces dans la nature, comme Attaques Intel ME par le groupe de ransomware Conti.
Malheureusement, le manque d’informations provient de lacunes considérables dans la connaissance des micrologiciels et de la chaîne d’approvisionnement. En fait:

Un peu plus de la moitié (53 %) savent que leurs contrôles de sécurité (pare-feu, contrôles d'accès, etc.) reposent sur des micrologiciels ; 44 % le savent lorsqu'on leur pose la même question sur les ordinateurs portables, tandis que 56 % ne sont pas informés.
47 % estiment avoir une connaissance totale de la surface d’attaque globale des micrologiciels de leur organisation, et 49 % en sont pour la plupart conscients. Seuls 39 % déclarent qu’ils seraient immédiatement informés si un appareil était compromis.

Malgré les connaissances perçues, 91 % sont préoccupés par le manque de sécurité des micrologiciels dans la chaîne d’approvisionnement de leur organisation.

Les idées fausses, les fonds limités et le manque de compétences/ressources sont à l'origine d'une forte hausse

Le micrologiciel est le composant le plus fondamental de tout appareil et donc de la chaîne d’approvisionnement globale, mais il reste la partie la plus négligée et la plus négligée de la pile technologique, créant ainsi un catalyseur parfait pour une attaque. Quatre personnes sur cinq conviennent que les vulnérabilités des micrologiciels sont en augmentation et presque toutes (93 %) déclarent que la sécurisation des micrologiciels devrait être une priorité urgente. Pour faire avancer les choses, les organisations financières estiment presque unanimement qu’une augmentation des investissements et des ressources est impérative. De manière positive, les personnes interrogées prévoient une augmentation de 8.5 % du budget de sécurité informatique dédié aux micrologiciels au cours des 1 à 2 prochaines années. En plus de ces facteurs de succès, ces organisations doivent également dissiper les mythes autour des technologies et méthodes actuelles qui créent un faux sentiment de sécurité, tels que :

Les solutions de gestion des vulnérabilités (81 %) et/ou leurs programmes de détection et de réponse des points finaux (EDR) peuvent identifier les vulnérabilités du micrologiciel et contribuer à leur correction (83 %).
Les exercices de modélisation des menaces constituent une source fiable d’informations approfondies sur les failles potentielles du micrologiciel, selon 37 % des personnes interrogées, 57 % déclarant utiliser le processus de temps en temps. Il est intéressant de noter que 96 % d’entre eux déclarent que les exercices de modélisation des menaces de leur organisation ne correspondent pas au paysage actuel des menaces.
12 heures est le temps moyen nécessaire aux équipes informatiques pour répondre à une attaque basée sur un micrologiciel, les personnes interrogées attribuant le manque de connaissances (39 %) et les ressources limitées (37 %) comme les principales raisons expliquant ce délai excessif. Cependant, 71 % affirment que le budget n’est pas un facteur.

« Au vu des nombreuses attaques liées aux micrologiciels au cours des derniers mois, il est évident que les adversaires n’ont pas à travailler assez dur pour exploiter les failles de la chaîne d’approvisionnement technologique. Malheureusement, nos données de recherche représentent une régression qui est uniquement due au manque de sensibilisation et à l’inaction motivée par « loin des yeux, loin du cœur » », a déclaré Yuriy Bulygin, PDG et co-fondateur d’Eclypsium. « Les nouvelles directives et initiatives gouvernementales telles que le catalogue de vulnérabilités exploitées connues du CISA et sa directive opérationnelle contraignante appellent à une action immédiate pour mieux protéger la couche critique du micrologiciel de la chaîne d'approvisionnement. Les progrès sont peut-être lents, mais nous allons dans la bonne direction.

À PROPOS DE L'ECLYPSIUM

La plate-forme cloud d'Eclypsium identifie, vérifie et renforce les micrologiciels des ordinateurs portables, des serveurs, des équipements réseau et des appareils connectés. La plate-forme Eclypsium sécurise la chaîne d'approvisionnement de vos appareils en surveillant les appareils pour détecter les menaces, les risques critiques et en appliquant des correctifs au micrologiciel sur l'ensemble du parc d'appareils. Pour plus d'informations, visitez eclypsium.com.

À propos de Vanson Bourne

Vanson Bourne est un spécialiste indépendant des études de marché pour le secteur technologique. Leur réputation d'analyse solide et crédible fondée sur la recherche repose sur des principes de recherche rigoureux et sur leur capacité à solliciter l'avis de décideurs de haut niveau dans les fonctions techniques et commerciales, dans tous les secteurs d'activité et sur tous les principaux marchés. Pour plus d'informations, visitez
www.vansonbourne.com.

Horodatage: 24 août 20224 septembre 2022

Horodatage: 28 avril 2023

Rapport : Les institutions financières sont submergées face aux menaces croissantes pour la sécurité des micrologiciels et la chaîne d'approvisionnement

Republié par Platon

Plus de Lecture sombre

Confiance dans les outils de récupération de données faible

La Fondation binationale israélo-américaine pour la R&D industrielle va investir 3.85 millions de dollars dans des projets de cybersécurité des infrastructures critiques

Cyberguerre et cybercriminalité vont de pair

Le pays où vous vivez a un impact sur les choix de mot de passe

Une étude mondiale indépendante d'Arcserve révèle que les entreprises continuent de perdre des données d'entreprise critiques

Omdia : les produits de sécurité autonomes surpassent les plates-formes de cybersécurité

Cybercertitude : investir dans la résilience pendant un marché post-correction

À propos de nous

Recherche verticale et Ai

Plateforme

Restez à l'affût

Compte