Cybersécurité : des équipes DFIR épuisées
L’évolution de la cybercriminalité pèse lourdement sur les DFIR, qui se disent aujourd’hui épuisés. Magnet Forensics, développeur de solutions d’investigation numérique, tire l’alarme.
54 % des professionnels du DFIR (Digital Forensics and Incident Response) se disent épuisés dans leur travail. Pour deux sur trois (échantillon : 492 professionnels), l’excès d’alerte contribue à cette fatigue, présentée comme un problème « important », voire « extrêmement important ». 42 % des entreprises ont cité l’évolution des techniques de cyberattaque comme un problème « important », voire « extrêmement important ». Soit une augmentation de 50 % par rapport à l’an passé !
Par conséquent, « il faut trop de temps pour identifier la cause profonde des attaques, commente Magnet Forensics. Ce qui coûte aux entreprises. » Aussi, la plupart des organisations représentées dans l’enquête se disent aujourd’hui plus susceptibles d’externaliser au moins certaines enquêtes DFIR.
La situation n’est pas nouvelle. Le bilan, oui. Le stress et l’épuisement professionnel impactent les professionnels de la cybersécurité. Les performances des SOC s’en ressentent. « La lutte contre l’épuisement professionnel et la fatigue sont des mauvais signes pour l’embauche. Les recrutements sont de plus en plus difficiles. » L’intégration aussi. Dans ce contexte, un investissement accru dans l’automatisation serait « très » ou « extrêmement » précieux pour une gamme de fonctions DFIR, dont le traitement des preuves numériques, a déclaré la moitié des répondants.
Plus de charges de travail = plus de risques réglementaires
Les pressions de la charge de travail exposent aussi les entreprises à des risques réglementaires accrus, en particulier les règles relatives au signalement des incidents. 46 % des répondants déclarent qu’ils n’ont pas le temps de comprendre les réglementations en matière de cybersécurité en raison de leur charge de travail.
« Idéalement, les réglementations devraient être lues et interprétées par des professionnels du droit qui peuvent les ‘traduire’ en informations claires et exploitables pour les praticiens du DFIR », peut-on lire dans le rapport. S’il n’est pas possible d’obtenir une interprétation juridique officielle, la direction doit s’assurer que les équipes DFIR disposent des ressources dont elles ont besoin pour lire et assimiler les informations, en complément d’un accès limité à un conseiller juridique pour des exigences particulièrement déroutantes, a-t-il ajouté.
L’exfiltration de données/vol d’IP est l’incident de sécurité le plus fréquemment rencontré par les personnes interrogées, 35 % des répondants indiquant que leur organisation rencontre ce type d’incident de sécurité « assez » ou « très » fréquemment. La compromission des e-mails professionnels (BEC) suit de près (34 %). Elle se produit désormais plus fréquemment que les ransomwares, qui étaient la menace de sécurité la plus courante dans le rapport de l’année dernière. Cependant, les terminaux infectés par des ransomwares ont toujours le plus grand impact sur les organisations, selon l’enquête.