Un changement de paradigme s’impose. Il ne s’agit plus de prévenir une attaque mais de savoir en limiter l’impact. La clé réside dans la maîtrise des brèches : une approche stratégique qui permet de limiter les dégâts, de protéger les informations importantes et redonner à la cybersécurité son rôle moteur dans la résilience de l’entreprise.
Les cybercriminels ont (encore) la tâche trop facile
Les cybercriminels évoluent dans un contexte qui leur est favorable : ils continuent d’exploiter le manque de cybersécurité élémentaire, en utilisant les mêmes techniques éprouvées depuis des années, avec un taux de réussite élevé.La capacité de déplacement latéral est un facteur clé dans la réussite des attaques par rançongiciel. Pourtant, plus de la moitié des organisations déclarent que les attaquants ont profité de systèmes non corrigés pour se déplacer latéralement et escalader les privilèges. Le problème du déplacement latéral est bien connu, il faut agir concrètement pour le contrer. Une mauvaise hygiène fait des organisations des cibles faciles.
De même, la majorité des attaques utilisent des protocoles classiques comme le Remote Desktop Protocol (RDP) ou des technologies de partage de fichiers comme Server Message Block (SMB) pour propager les rançongiciels. Ces protocoles sont activés par défaut sur les systèmes d’exploitation standards, alors que la plupart des utilisateurs ne s’en servent pas. Pourquoi sont-ils encore ouverts ?
Revenir aux fondamentaux
Une partie du problème vient d’une tendance à privilégier les outils innovants au détriment de la maîtrise des fondamentaux. Une gestion efficace des correctifs, des contrôles d’accès rigoureux et des évaluations régulières des vulnérabilités sont essentiels pour limiter la capacité de mouvement des attaquants. Dans cette optique, la maîtrise d’un incident ne repose pas uniquement sur la technologie, mais aussi sur la discipline.Les contrôles les plus importants contre les rançongiciels sont ceux mis en place avant toute infection. La plupart des RSSI s’accordent à dire que la formation des utilisateurs a une efficacité limitée. La sensibilisation ne suffit plus. Il faut passer de la cyber-sensibilisation à la cyber-préparation. La première informe de l’existence des menaces ; la seconde forme à réagir lorsqu’elles se manifestent.
Les organisations doivent valoriser la maîtrise des fondamentaux et cesser de laisser les cybercriminels exploiter les mêmes faiblesses connues et prévisibles. Cela nécessite un effort coordonné, collectif et porté par la direction.
De la prévention à la maîtrise d’un incident
La stratégie la plus intelligente qu’une organisation puisse adopter est de limiter le périmètre d’impact lorsqu’un attaquant parvient à s’introduire.La maîtrise d’un incident ne l’empêche pas de se produire, mais elle en limite la propagation.
Selon les recherches de Ponemon, 59 % des organisations françaises ont dû suspendre leurs opérations après une attaque par rançongiciel, avec une interruption moyenne de 12 heures. Une journée entière d’activité perdue, largement suffisant pour causer des dommages réputationnels et financiers importants. La maîtrise permet de préserver les actifs critiques.
Pourtant, trop d’entreprises gaspillent encore des heures cruciales après un incident à se demander « ce qui a mal tourné » et « qui est responsable ». Une réaction humaine compréhensible, mais aussi dangereuse. En effet, les dirigeants doivent sortir de cette logique du blâme car accuser un collaborateur revient à prétendre qu’il est possible de tout savoir sur chaque technologie à tout moment, une exigence irréaliste.
Les organisations doivent réagir avec lucidité et sang-froid : résoudre le problème, comprendre ce qui l’a causé, et empêcher sa propagation.
Le Dr Erik Huffman, entrepreneur récompensé et cyberpsychologue résume bien la situation : « En cas de négligence, identifiez-la après avoir résolu le problème. » Se contenter d’attribuer un incident à de la « négligence » démontre une méconnaissance fondamentale du fonctionnement réel de la cybersécurité.
L’IA : catalyseur ou facteur de stagnation ?
Aujourd’hui, les attaquants excellent dans un domaine : l’observabilité. Ils savent cartographier les systèmes, les utilisateurs et les relations pour repérer les connexions exploitables. Et les défenseurs doivent adopter la même approche.Pour reprendre l’avantage, les organisations ont besoin d’une vision complète des menaces et des mouvements adverses dans leur environnement. Des outils tels que des graphes de sécurité pilotés par l’IA offrent cette compréhension dynamique et visuelle, facilitant l’identification des vulnérabilités, la visualisation des schémas d’attaque et l’isolement des menaces en temps réel.
Revenir aux fondamentaux, prioriser la maîtrise des incidents, puis automatiser ce processus à l’aide de l’IA. Il s’agit finalement d’adopter la mentalité de l’attaquant, associée à des outils automatisés, cela peut faire la différence entre une perturbation mineure et un incident catastrophique. Ce changement d’état d’esprit mène à une prise de conscience essentielle : l’objectif n’est pas la perfection, mais la résilience.
L’IA ne remplace pas la stratégie, elle l’amplifie, à condition que cette stratégie repose sur une logique de confinement, de résilience et de contrôle.
La maîtrise des incidents : la ceinture de (cyber)sécurité
Il faut aborder la cybersécurité comme la conduite. On ne met pas une ceinture de sécurité pour éviter les accidents, mais pour limiter les conséquences en cas de collision.La maîtrise des incidents est une ceinture de cybersécurité : une couche de résilience qui protège des pires scénarios.
Des stratégies comme le Zero Trust, fondées sur le principe « ne jamais faire confiance, toujours vérifier », sont les airbags et systèmes d’antidérapage. Cette logique permet d’accepter l’existence du risque cyber et de préparer en conséquence les systèmes et les collaborateurs.
Les attaquants ne recherchent pas de défi. Ils veulent des cibles faciles. Plus les entreprises ajoutent des difficultés, plus l’effort devient important pour eux, et plus ils sont susceptibles d’abandonner.
Par Damien Gbiorczyk, expert cyber résilience Illumio
