D’après les chiffres de CrowdStrike, 68 % des organisations ayant subi une attaque, ont connu d’autres tentatives d’intrusion. Plutôt que de considérer la réponse aux intrusions comme une activité d’urgence ponctuelle, les organisations doivent prévoir une surveillance et une réponse en temps réel et en continu.
En compliquant un peu plus le travail des défenseurs, cette année 2020 finissante aura grandement influencé les pratiques de cybersécurité et les prises de conscience. Elle aura au moins eu le mérite d’accélérer la transformation numérique et par conséquent les mesures qui l’accompagnent pour sécuriser les systèmes, les transits et les points terminaux. Cependant, ce nouvel état d’esprit dans les entreprises n’est pas une fin en soi. Le métier de défenseur s’est un peu plus compliqué, exigeant des compétences plus pointues et une vigilance ininterrompue.
Comme l’exprime Shawn Henry président des services et Chief Security Officer chez CrowdStrike, dans le dernier rapport de l’entreprise (Incident Response And Proactive Services From 2020 And Insights That Matter For 2021) : « Passer en quelques semaines d’une pile informatique traditionnelle à une main-d’œuvre mondiale “travaillant n’importe où” a été une entreprise remarquable pour de nombreuses organisations, et les adversaires l’ont remarqué. Les attaquants — qu’ils soient issus de la cybercriminalité ou de l’État — ont continué à s’adapter rapidement aux changements importants survenus dans le secteur, afin de contourner les défenses existantes, de déployer de nouveaux rançongiciels et d’exécuter des attaques d’extorsion de données ».
Les cybercriminels ne sont pas adeptes du blitzkrieg
Le rapport de CrowdStrike rassemble les points de vue et les observations des membres de l’équipe de CrowdStrike des quatre coins du monde. Il comprend des recommandations concrètes et les principes de base de la cybersécurité : inventaire des actifs, gestion des vulnérabilités, authentification multifactorielle, segmentation du réseau, sauvegarde et récupération du système, etc. Après avoir dressé l’état de la cybermenace et ses innovations les plus notables, comme les manœuvres évasives, les attaques à haute fréquence et leur sophistication grandissante, les rédacteurs du rapport distillent quelques conseils de bon sens.
Le premier est de ne pas commettre l’erreur de considérer une intrusion comme un événement ponctuel, une attaque éclair sans suite. La tentation est grande de vouloir laisser une mauvaise expérience derrière soi et de passer à autre chose. « L’achèvement d’une réponse à un incident représente toutefois une opportunité cruciale pour apporter des améliorations en termes de personnes, de processus, de technologie et de maturité de la cybersécurité, qui ne doit pas être négligée. Ignorer cette opportunité de maturité laisse les organisations exposées à la prochaine intrusion, qui est rarement lointaine », explique le rapport.
D’un autre côté, la tendance des cybercriminels à tenter systématiquement de compromettre les données et les sauvegardes des entreprises pour de futures attaques, ou pour monnayer ces intrusions sur le marché noir, justifie grandement la vigilance et la remise en question qui suit une intrusion réussie. Les organisations doivent capitaliser sur les leçons apprises.
Une surveillance continue et une réaction rapide changent la donne
Les équipes de sécurité les plus efficaces gèrent les tentatives d’intrusion en temps quasi réel, au fur et à mesure qu’elles se produisent. « Cet état d’esprit proactif nécessite une équipe du centre d’opérations de sécurité (SOC) 24 heures sur 24, 7 jours sur 7 et 365 jours par an, qui dispose de la technologie avancée et des processus matures nécessaires pour traiter rapidement et efficacement toutes sortes de cybermenaces », estime le rapport.
Les organisations qui migrent vers des architectures centrées sur le cloud doivent se concentrer davantage sur la mise en œuvre de contrôles d’accès efficaces basés sur l’identité et les appareils, en orientant les contrôles d’accès vers une stratégie de confiance zéro. Tous les employés qui participent à la sécurité de l’information — de la direction aux membres de l’équipe de soutien — doivent clairement comprendre leur rôle et être prêts à l’assumer, en particulier dans ces conditions à enjeux élevés alors que les organisations continuent migrer leurs employés vers le télétravail.
Malgré les meilleurs efforts des équipes de sécurité, les attaquants sont constamment à la recherche de failles et de vulnérabilités (humaines et numériques) à exploiter. La cyberguerre est continue et le champ de bataille doit être revisité continuellement.