L’antivirus ne suffit plus… Le duo antivirus et parefeu fait figure de compromis… Revoyons nos stratégies de défenses, intéressons-nous à l’analyse comportementale, à l’IA et à l’apprentissage machine. Et demandons à nos fournisseurs d'avancer plus rapidement pour nous équiper de solutions de cybersécurité plus efficaces qu'elles ne le sont aujourd'hui !
Il y a une quinzaine d’années, le CIO d’une université américaine avait créé un scandale en abandonnant les antivirus. Son argumentation était double : les antivirus coûtent cher, en licences comme en maintenance et support ; et ils ne protègent finalement pas grand-chose puisqu’en particulier les étudiants sont aussi des petits génies qui savent contourner les protections et donc fragiliser les PC. Ayant fait son calcul de ROI, le CIO décidait donc d’abandonner les antivirus, préférant formater et réinstaller les postes en cas d’attaque virale. Cette affaire n’a pas été suivie, nous ne savons pas ce qu’est devenu ce CIO…
Aujourd’hui, il ne viendrait à personne l’idée de ne pas s’équiper d’un antivirus. A l’exception des fanatiques du Mac qui s’estiment encore protégés par un système à part, et probablement de plus d’un milliard d’utilisateurs de smartphones qui ignorent le danger qui les guette ! Il faut espérer que les dernières affaires d’attaques virales auront au moins le mérite de remettre les esprits en ordre de marche.
Pour autant, et sans vouloir offenser nos amis et lecteurs RSSI, abandonner les antivirus pourrait avoir du sens. Certes, les antivirus sont efficaces… quand ils sont à jour et contre des menaces connues ! Quand on observe une attaque massive comme WannaCry ou les botnets IoT, les antivirus n’ont pas vu grand-chose arriver !
L’autre problématique tient dans la démarche traditionnelle de défense périmétrique, qui dans la majorité des organisations associe l’antivirus et le parefeu. Face à des logiciels toujours plus malveillants et des vulnérabilités exploitées avant qu’elles ne soient corrigées, le duo fait plutôt figure de compromis. Et DSI comme RSSI courbent le dos en attendant la prochaine attaque qui ne manquera pas de les mettre à genou.
Aujourd’hui, le logiciel malveillant n’est qu’une première étape, destinée à tester la faille, à entrouvrir la porte, et à glisser un pied dans le système sous une nouvelle identité évidemment inconnue. Lorsqu’il est détecté, il est généralement trop tard ! Si l’antivirus est présent et à jour, il détectera presque tous les logiciels malveillants. C’est ce ‘presque’ qui n’est plus admissible ! Il laisse l’utilisateur et son organisation par trop vulnérables !
Entre la vulnérabilité des logiciels, la multiplication des apps mal voire pas testées, la sophistication et la complexité grandissante des attaques, on ne peut plus protéger l’informatique comme on le faisait au début du siècle. Aujourd’hui, près de la moitié des violations ne sont plus détectées par les antivirus (source : Rick Grinnell de Glasswing Ventures).
Pour parer les nouvelles attaques, il faut désormais aller plus loin, parler analyse comportementale (et Big Data), Intelligence Artificielle et marchine learning. Nous sommes dans l’ère du temps, dans la tendance, et la cybersécurité ne peut y échapper. Se protéger doit se traduire par l’évolution vers des solutions capables d’apprendre, de s’adapter et de réagir rapidement aux logiciels malveillants.
D’un côté, le système de protection doit rechercher une aiguille dans une botte de foin pour étudier et comparer les comportements à un modèle de trafic confirmé normal. La détection des surtensions et des anomalies nécessite une plus grande ‘intelligence’ sur les données disponibles. De l’autre, le système de protection doit pouvoir être déporté, pour répondre à la diversité des systèmes qui sont toujours plus nombreux à ne pas offrir la capacité d’exécuter des environnements de sécurité.
Les éditeurs d’antivirus, qui ont fait leurs choux gras d’un marché de la sécurité concentré durant des décennies sur leurs produits, sont-ils prêts à assumer cette migration et à transformer leurs solutions ? Tous l’affirment, évidemment. Mais la difficulté des DSI et RSSI à mettre en place des outils qui prennent en compte ces nouvelles stratégies démontre plutôt qu’ils peinent à évoluer. Ils sont encore sur la démarche du médicament plutôt que sur celle des anticorps !
La sécurité a toujours reposé sur une approche à plusieurs niveaux, argumente-t-on également. C’est d’autant plus vrai qu’une stratégie sécuritaire s’apparente aujourd’hui à un Lego, laissant au responsable sécurité le soin de construire sa solution en empilant des briques. Mais le résultat est une défense asymétrique, dans laquelle les attaquants n’ont qu’à se plonger pour trouver les inévitables failles.
Mettre en place une stratégie de sécurité efficace ne peut plus reposer sur les démarches sécuritaires classiques, pourtant présentes dans les majorités de nos entreprises et chez les éditeurs traditionnels. Mais ce n’est pas à l’entreprise de s’adapter aux menaces qui pèsent sur sa tête, mais à leurs fournisseurs de proposer de nouvelles stratégies de défense et de tenir leurs promesses !
Image d’entête 579418990 @ iStock PrettyVectors