Les CISO ont une chance sur quatre de leur travail survivant à une attaque de ransomware réussie, selon un récent rapport de Sophos. Les conclusions du rapport sont un appel au réveil pour les CISO, qu’ils soient trouvés en faute ou ont une autorité significative pour bloquer ces attaques, selon des experts de l’industrie.

« Cette statistique n’est pas surprenante, mais elle reflète une frustration croissante au niveau du conseil d’administration lorsque la fonction de sécurité ne donne pas des résultats, quelle que soit la justice de ce jugement », affirme qu’Erik Avakian, conseiller technique du groupe de recherche Info-Tech. « Même si l’attaque provenait de facteurs en dehors de leur contrôle direct, il y a toujours une attente de la part des parties prenantes selon lesquelles (les CISO) doivent être en mesure d’empêcher le pire des cas. »

Avakian ajoute que le déménagement pour évincer un CISO après une attaque de ransomware est parfois nécessaire et approprié, mais les entreprises quittent souvent les décisions de résiliation trop rapidement.

« Le licenciement du CISO peut sembler une réinitialisation nécessaire pour les DSI ou les conseils, mais ce n’est pas toujours une décision stratégique. Si le plan de réponse aux incidents a été suivi, les outils de détection fonctionnaient et la récupération était dans les SLA, puis le remplacement du CISO envoie souvent le mauvais message en interne », maintient Avakian. «Cela montre que le rôle de sécurité est davantage sur l’optique que sur la substance. Mais si l’hygiène de base était négligée – comme sans segmentation, sans sauvegarde, aucun exercice de table – alors le changement pourrait être justifié.»

Frank Dickson, vice-président du groupe pour la sécurité chez IDC, est d’accord avec l’évaluation d’Avakian, mais ajoute que certains CISOS laissent leur propre volonté après une attaque de ransomware, conduisant à des numéros de remplacement plus élevés.

«S’attaquer à un événement de ransomware est extrêmement éprouvant. Une personne de sécurité peut choisir de partir en raison de l’épuisement professionnel ou être invitée à partir en raison d’un conflit qui résulte du processus de réparation plutôt que de l’attaque elle-même», explique Dickson.

Une question d’autorité

Dickson soutient également que l’autorité du CISO devrait entrer en jeu. Si des décisions sont prises au niveau de la ligne des entreprises (LOB) – et potentiellement contre les conseils de la CISO – est-il logique de blâmer le CISO?

Certains «supposent qu’une attaque de ransomware est la faute du CISO», dit-il. «Le CISO est un leader, mais pas le leader. Les violations sont le résultat d’un modèle de décisions de beaucoup.»

L’Avakian de Info-Tech compare une telle réaction d’entreprise à un propriétaire accusé le service d’incendie si sa maison brûlait en raison de la faute du propriétaire.

«À quand remonte la dernière fois que vous avez vu un capitaine des pompiers licencié ou son équipe a été blâmée pour un incendie commençant? Ce sont eux qui ont répondu, atténué, éduqué et aidé à minimiser le risque futur de l’occurrence des incendies», explique Avakian. « Voir cette équipe (de sécurité) là-bas, y compris votre CISO? Ce sont vos pompiers. Ils ont le dos et sont là pour vous aider chaque fois qu’il y a un incident. »

Dickson souligne également que de nombreuses unités commerciales d’entreprise – même certains PDG et coos – contourneront les CISO en ne les invitant délibérément pas à des réunions clés, par crainte qu’elles ralentissent certains processus commerciaux.

«Ils décideront activement de ne pas inclure la sécurité», explique Dickson. «Je le dis (ces dirigeants):« Si vous ne voulez pas votre CISO, quelqu’un d’autre le fera. »

Le rapport de Sophos a déclaré que les enquêtes médico-légales post-ransomwares découvrent souvent des problèmes que le CISO manquait ou aurait dû connaître.

«Pour la troisième année exécutée, les victimes ont identifié des vulnérabilités exploitées comme la cause profonde la plus courante d’incidents de ransomware utilisés pour pénétrer les organisations dans 32% des attaques dans l’ensemble. « Le courrier électronique reste un grand vecteur d’attaque avec 19% des victimes signalant un e-mail malveillant comme cause profonde et 18% supplémentaires citant le phishing – un bond notable par rapport à 11% de l’an dernier. »

Chet Wisniewski, un directeur de Sophos et Global Field CISO, a déclaré que les recherches de la société ont montré que 40% des répondants ont déclaré que l’attaque de ransomware provenait de « un écart connu que nous n’avions pas abordé ».

« C’est une chose assez difficile à survivre si vous avez un événement de plusieurs millions de dollars entre vos mains », dit-il.