Compromis

Presque tous les CIO ont déjà renoncé à appliquer des patchs de sécurité

La plupart des CIO et CISO concèdent devoir faire des compromis pour ne pas interrompre les activités commerciales. Ils renoncent ainsi fréquemment à déployer des mises à jour de sécurité.

(Source: Pixabay)
(Source: Pixabay)

A l’heure où les infrastructures IT deviennent de plus en plus complexes et hétérogènes, il apparaît que les CIO et CISO font très souvent des compromis entre sécurité des systèmes et efficacité des opérations. Un constat qui ressort d'une étude publiée par Tanium, éditeur spécialisé dans la gestion des opérations, du risque et de la sécurité. Un tiers des responsables IT interrogés concèdent faire des compromis dans le but de ne pas interrompre les opérations. La nécessité de mettre l'accent sur la mise en œuvre de nouveaux systèmes est aussi citée comme une raison importante, de même que les restrictions imposées par les systèmes hérités et les politiques internes.

Correctifs non déployés à plus d’une reprise

Fait inquiétant: parmi les compromis effectués, certains touchent des procédures pourtant cruciales dans la protection d’une infrastructure IT. Ainsi, plus de huit CIO/CISO sur dix ont déclaré qu'ils se sont déjà, au moins une fois, abstenus de faire une mise à jour ou d’appliquer un correctif de sécurité important. Plus de la moitié l'ont même fait à plus d'une occasion. Raison invoquée: des préoccupations concernant l'impact que les mises à jour et correctifs pourrait avoir sur la bonne marche des activités commerciales. Le déploiement incomplet de patchs n’est pas toujours volontaire. Une majorité des responsables IT (80%) ont déjà dû constater qu’une mise à jour n’avaient pas été déployée sur tous les dispositifs, alors qu’ils pensaient que c’était le cas.

L’étude de Tanium indique les CIO et CISO ont conscience de l’impact négatif des compromis qu’ils opèrent. Ils s'inquiètent principalement de la perte potentielle de données clients, mais aussi d'une perte de confiance des clients ainsi que de l'éventuelle incapacité de l'entreprise à se conformer aux réglementations.

Webcode
DPF8_134173