le SI.
Entreprises de toutes tailles, industries, aucun type d’organisation de travail n’échappe à la cupidité et l’ingéniosité des cyberattaquants. Mieux vaut prévenir que guérir, un adage dont la validité se confirme dans le domaine de la cybersécurité. La litanie des menaces qu’on peut citer sans les hiérarchiser est impressionnante. Elle constitue un vrai défi pour les équipes de sécurité. Depuis les menaces avancées et persistantes dans le SI (APT), difficiles à juguler, jusqu’aux attaques Ddos paralysant les serveurs. Sans oublier les fraudes par ingénierie sociale, visant à tromper et manipuler les employés, le vol d'informations et les fuites de données sensibles avec menace de divulgation. S’ajoutent à cette longue liste, les actions d’anciens salariés qui ont une volonté de nuire ou se venger, l’exploitation d’une vulnérabilité sur un logiciel ou équipement largement répandus ou encore, les menaces ciblant des secteurs d'activité spécifiques ou des zones géographiques.
La prévention repose, en particulier, sur une veille constante sur les vulnérabilités. Ensuite sur le maintien d’un référentiel de cybersécurité incluant les cartographies nécessaires (systèmes, postes de travail, réseaux, applications, etc.). Autre point de vigilance, la maîtrise de la surface d'attaque avec une gestion fine des droits d’accès aux ressources. La sensibilisation des décideurs et des collaborateurs est primordiale.
La détection et le blocage des menaces en temps réel sont essentiels
Pour contrer les attaques, le choix des outils sur des critères d’efficacité et d’ergonomie tels les EDR et XDR est impératif. Les grandes entreprises disposent des moyens humains et financiers pour mettre en place un Security Operations Center (SOC) afin de qualifier les alertes et lancer des actions au besoin. Notamment, le « Threat Hunting » qui consiste à traquer les attaquants déjà présents dans le système d'information, en fonction des indicateurs de compromission. Lors de l’attaque, la préparation au préalable des processus de réponse à incident est crucial pour réagir efficacement. Il s’agit entre autres des personnes à contacter et de la liste hiérarchisée des actions claires à entreprendre.Il existe de nombreuses sources pour la veille en cybersécurité, les CERT’s (computer emergency response team), la base de données MITRE ATT&CK sur les tactiques, techniques et procédures (TTP) des attaquants, MalwareBazaar, une autre base de données de malwares qui permet d'identifier les menaces, ABUSE.CH, une source d'informations sur les domaines malveillants et les botnets, etc.
Les mécanismes de collaboration et de partage d'information entre entreprises pour renforcer leur résilience collective sont efficaces, mais insuffisamment mis en place et utilisés.
Le rapport du Cigref met aussi l’accent sur le rôle des tiers dans les cyberattaques, à savoir les fournisseurs, partenaires commerciaux ou sous-traitants, devenus une source incontournable de vulnérabilités potentielles.
Coté industriel, l’OT (operational technologies) est confronté à la réticence des équipes de sécurité à ajouter des couches de prévention par crainte de fragiliser le SI et par une offre de solutions qui ne sont pas adaptées à leurs spécificités.
Dans tous les cas, identifier et sécuriser la dernière sauvegarde saine est un impératif absolu pour récupérer les données de l’entreprise nécessaires à la reprise d’activité. Encore faut-il que les sauvegardes soient correctement effectuées et testées régulièrement.