Les dirigeants de la sécurité peuvent être sujets à croire que les cyber-défenses sont plus fortes que le personnel de première ligne ne le considère, déformant ainsi les priorités des dépenses et créant un faux sentiment de sécurité.
Les CISO et leurs chaînes de commandement de sécurité semblent avoir des vues considérablement divergentes de la maturité et de la résilience de la cybersécurité de leur organisation.
Selon un récent rapport BitDefender, les CISO ont exprimé beaucoup plus de confiance que les gestionnaires de sécurité de niveau intermédiaire dans la capacité de leur organisation à gérer les risques à mesure que la surface d’attaque augmente (45% contre 19%). Pendant ce temps, le rapport sur l’état de la cybersécurité de DarkTrace a révélé que les praticiens de la sécurité sont moins confiants que les dirigeants de la sécurité concernant la capacité de leur organisation à lutter contre les menaces axées sur l’IA (49% contre 62%).
« Ces différences de confiance sont la preuve d’une déconnexion entre les dirigeants et les praticiens de première ligne. Ceux qui sont dans les tranchées comprennent ce que c’est que de se battre quotidiennement avec les adversaires alimentés par l’IA, et voir clairement où les solutions actuelles échouent », conclut le rapport Darktrace.
Gunter Ollmann, CTO chez Pentest Firm Cobalt, affirme que ces déconnexions sont courantes dans les organisations de sécurité et peuvent entraîner des défis lorsqu’il s’agit d’assurer l’alignement sur les priorités de sécurité.
«Il y a depuis longtemps une déconnexion entre ceux de« pointe »qui voient la diversité des attaques contre leurs organisations au quotidien par rapport à celles plus éloignées de la face du charbon», explique Ollmann. «Les travailleurs de la sécurité de première ligne sont submergés par une fatigue alerte et la contrainte continue d’une charge de travail quotidienne qui ne se termine jamais avec succès, ce qui peut rendre plus difficile la« vue d’ensemble ».»
Pendant ce temps, la suppression des dirigeants de la sécurité du cyber-travail quotidien peut entraîner des problèmes négligés sur le terrain, explique Nicolette Clarkin, spécialiste technique de la plate-forme de formation de cybersécurité SecureFlag.
«Les dirigeants reposent généralement sur des rapports de haut niveau et des tableaux de bord, tandis que les praticiens de première ligne voient les défis quotidiens, tels que les limites de couverture, les systèmes hérités et la fatigue alerte – des problèmes qui se font rarement dans les discussions de salle de conférence», dit-elle. «Cette déconnexion peut conduire à un faux sentiment de sécurité au sommet, provoquant un sous-investissement dans des domaines tels que le développement sécurisé, la modélisation des menaces ou les compétences techniques.»
«Notre expérience est que les gestionnaires de niveau intermédiaire sont toujours plus préoccupés par l’état de leur cyber-posture, car ils sont généralement beaucoup plus proches des outils déployés qui composent leur cadre de sécurité», explique Larry Chinski, vice-président directeur de la stratégie IAM mondiale à une identité.
Cette déconnexion de sécurité entre les CISO et les professionnels de la sécurité en première ligne crée un écart entre perçu et la préparation réelle qui peut potentiellement conduire à:
- Priorités mal placées: Les investissements favorisent souvent la visibilité et la conformité sur les «capacités de base comme l’ingénierie de détection, la réponse aux incidents et le confinement des menaces», selon Santiago Pontiroli, chercheur en sécurité du fournisseur de cybersécurité Acronis Tru.
- Adaptation retardée: Les menaces axées sur l’IA exigent des défenses plus rapides et plus intelligentes, mais les améliorations clés (telles que l’analyse ou l’automatisation du comportement) sont souvent reportées en raison du risque sous-estimé, selon Pontiroli.
- Implémentation inefficace: Des outils de sécurité peuvent être déployés sans intégration ou formation appropriée, limitant leur impact et augmentant le bruit opérationnel.
«Les chefs d’entreprise supposent souvent que leurs politiques et les contrôles sont solides simplement parce qu’il n’y a pas eu d’incidents récents, mais les praticiens de première ligne le savent mieux», explique David Brown, vice-président directeur des affaires internationales chez la société de gestion de la sécurité des réseaux Firemon. «Ils voient la dette technique, l’étalement des politiques et les configurations incohérentes qui s’accumulent au fil du temps.»
Les menaces axées sur l’IA
Alors que les dirigeants ont tendance à fonder leur confiance sur les mesures de conformité de haut niveau ou les assurances de fournisseurs, les professionnels de première ligne – ingénieurs de sécurité et analystes – voir la nature évolutive et complexe des menaces axées sur l’IA de première main.
Des recherches récentes de l’industrie de Darktrace soulignent ce contraste, montrant que «les hauts responsables surestiment souvent la préparation de leur organisation, tandis que ceux sur le terrain restent beaucoup plus prudents dans leurs évaluations», explique Paul Cragg, CTO chez Cyber Risk Management Vendor Normcyber.
L’essor de l’intelligence artificielle permet aux adversaires d’automatiser les tâches qui prenaient une fois de temps et coûteuses, ce qui réduit la barrière à l’entrée et augmentant la probabilité d’attaques réussies.
«Il n’est pas surprenant que les praticiens de première ligne soient souvent les premiers à reconnaître ce changement, car ce sont les dirigeants qui dépendent pour évaluer la probabilité en premier lieu», explique Inti de Ceukelaire, chef de hacker de la société de cybersécurité crowdsourcée Inigriti.
Les attaquants utilisent déjà une IA générative pour mettre à l’échelle des tactiques de phishing, d’identité et de ransomware. Dans le même temps, un tiers des employés ou plus utilisent des outils d’IA en secret, sans visibilité, politique ou protection en place.
«Cette tendance« Shadow Ai »élargit radicalement le paysage des menaces, car il introduit des outils et des flux de données non gérés qui contournent les contrôles traditionnels, en particulier lorsqu’ils sont associés à des contrôles et des systèmes muets», explique Mike Riemer, vice-président principal du groupe de sécurité du réseau chez Ivanti.
Les menaces d’IA évoluent si rapidement que les politiques traditionnelles et les évaluations des risques ne parviennent pas à suivre. Le leadership peut se sentir rassuré par des mises à jour régulières, mais le personnel de première ligne voient un paysage constant qui a besoin d’attention en temps réel, prévient Brown de Firemon.
Les perspectives d’étouffement sur les menaces liées à l’IA créent des angles morts où les risques se sont soignés. Lorsque le leadership estime que la posture de sécurité est plus forte qu’elle ne l’est, les investissements critiques sont différés ou mal dirigés.
«Les organisations doivent réarracher le moins de privilèges, automatiser l’application et valider en permanence les contrôles», explique Brown. «Si vos politiques sont déjà difficiles à gérer manuellement, les menaces compatibles AI les briseront entièrement.»
Visibilité et contexte
«Par exemple, un analyste SOC considère un ensemble de données, un responsable de la sécurité en voit un autre, et le CISO voit à nouveau quelque chose de différent, chacun façonné par les outils, les équipes et les priorités pertinents à leur niveau au sein de l’organisation», explique Ferguson. «Chaque étape introduit la distorsion des messages: les données sont résumées, remodelées ou mettent en surbrillance sélective en fonction de la pertinence perçue ou des pressions temporelles.»
Tout cela se traduit par une compréhension différente des mêmes données, ce qui peut entraîner des priorités et des hypothèses mal alignées sur la maturité réelle de la sécurité et l’exposition aux risques de l’organisation.
En outre, la hausse de la CISO en matière d’importance et de repositionnement pour le leadership d’entreprise peut également ajouter à la déconnexion, selon Adam Seamons, responsable de la sécurité de l’information chez GRC International Group.
«De nombreux CISO sont passés de la conduite technique aux chefs d’entreprise. Le problème est que, ce faisant, ils peuvent s’éloigner du détail opérationnel», explique Seamons. «Cela crée une sorte de« lacune de traduction »entre ce que les dirigeants pensent se produire et ce qui se passe réellement au Coalface.»
Manque de mesures partagées
Sans une vision cohérente et partagée du risque et de la posture, la stratégie devient fragmentée, conduisant à un ralentissement de la prise de décision ou de la sur-investissement dans des domaines spécifiques, qui à leur tour créent des angles morts que les adversaires peuvent exploiter.
«Le combler de cet écart commence par l’amélioration de la façon dont les données de sécurité sont communiquées et contextualisées», conseille Ferguson de ForeStcout. «Plutôt que de passer des informations filtrées dans la chaîne, où les nuances clés peuvent être perdues, les outils de sécurité devraient aider à présenter les mêmes données fondamentales de manière pertinente des rôles.»
Par exemple, un analyste SOC a besoin d’une granularité technique, tandis qu’un CISO peut avoir besoin d’une vue de haut niveau liée à l’impact commercial.
«Lorsque les outils peuvent adapter le contexte sans modifier le sens, ils aident à éviter la distorsion des messages et à améliorer la compréhension partagée», explique Ferguson.
D’autres experts pensent que l’écart dans la sensibilisation à la sécurité s’améliore en raison d’une combinaison de meilleurs outils et d’une communication améliorée.
« Les CISO devraient être plus impliqués dans leur équipe, communiquer régulièrement et utiliser en permanence les progrès technologiques avec leurs équipes pour comprendre les lacunes dans leur posture de sécurité », a déclaré Chinski d’une identité. «Nous avons vu une implication beaucoup plus profonde par les CISO en raison d’une surface d’attaque d’entreprise beaucoup plus large, nous pensons donc que ces lacunes se rétréciront considérablement car ils utilisent de nouveaux outils pour leur posture de sécurité.»
