Ces dernières années, les organisations semblent s’être faites à l’idée qu’elles seront tôt ou tard frappées par une cyberattaque susceptible potentiellement de leur faire perdre leurs données et d’exiger une demande de rançon. Le nombre d’attaques réussies à l’encontre d’entreprises est en augmentation, cela ne fait aucun doute. Face à cette menace, les entreprises investissent dans des cyberassurances ou font des réserves de cryptomonnaies non réglementées pour répondre aux demandes de rançon en cas de chiffrement et d’exfiltration de leurs données. Le secteur des assurances réagit déjà à cette situation à risque en augmentant les prix des polices d’assurance et les exigences à satisfaire par l’entreprise assurée.
Changement de garde au profit d’une sécurité proactive
Outre les actions visant à détecter les attaques contre l’infrastructure de l’entreprise, il convient de prendre des mesures pour les empêcher totalement. En s’attachant à réduire leur surface d’attaque, les entreprises peuvent atténuer considérablement l’impact des menaces et leur potentiel de dommages. Il ne s’agit pas de supprimer entièrement les systèmes existants, mais de déployer un catalogue complet de mesures pour la gestion des risques. Celles-ci visent davantage à prévenir les attaques qu’à les détecter une fois qu’elles ont eu lieu. Les entreprises ont la possibilité de réduire le risque d’attaques réussies si elles reconnaissent les vulnérabilités de leur infrastructure et comblent les lacunes afin d’aboutir à une surface de protection réduite, dénuée d’intérêt pour les attaquants.Voici 9 conseils pour passer d’une gestion des risques réactive à une gestion proactive :
- Réduisez les surfaces d’attaque: Les entreprises qui investissent du temps pour prendre conscience de leur surface d’attaque assurent une sécurité proactive. En détectant les vulnérabilités et en comblant les failles, elles contribuent largement à la réduction des attaques. Pour ce faire, tous les actifs de l’entreprise exposés à Internet doivent être contrôlés. Pour réduire la surface d’attaque, la première étape consiste à inventorier, catégoriser et dissimuler les actifs. Une approche Zero Trust, qui utilise des microtunnels pour relier l’utilisateur à l’application, empêche tout regard non autorisé sur l’infrastructure.
- Prenez vos distances avec le modèle « château fort »: Le modèle traditionnel d’infrastructure de sécurité se caractérise par une approche dite du « château fort », avec une sécurité au périmètre du réseau protégeant tout ce qui se trouve à l’intérieur. Or, avec le Cloud et les nouveaux modèles de travail, ni les applications ni les utilisateurs ne résident plus à l’intérieur du périmètre. Dans le cadre des mesures préventives, les applications et les employés doivent être protégés quel que soit le lieu où ils se trouvent ou celui où ils travaillent. Il est important de mettre l’accent sur les valeurs de l’entreprise qui méritent d’être protégées, et des mesures appropriées doivent être prises à cet effet. Cela signifie davantage de protection pour les charges de travail dans le Cloud et les travailleurs mobiles lorsqu’ils accèdent aux applications depuis n’importe où.
- Faites évoluer votre sécurité pour le Cloud: Aujourd’hui, aucune entreprise ne peut ignorer le Cloud. Bien que les organisations aient progressé à des degrés divers dans leur démarche de migration vers le Cloud, il est important de déplacer les applications vers le Cloud selon l’approche « lift and shift » (déplacer sans remanier). Une transformation globale exige de repenser les architectures de réseau et de sécurité ainsi que la connectivité. Dans le monde d’aujourd’hui axé sur le Cloud, les entreprises doivent s’assurer que l’ensemble de leur modèle d’architecture informatique suit l’évolution vers le Cloud. La sécurisation de l’accès au réseau doit être remplacée par un modèle d’accès sécurisé basé sur chaque application et chaque utilisateur. Une approche Zero Trust sur le modèle d’accès du moindre privilège y contribue.
- Détectez le trafic de commande et de contrôle: Un SOC ne peut se contenter de détecter le trafic de commande et de contrôle (C&C) sans la possibilité d’une réponse immédiate. Pour empêcher un adversaire de prendre le contrôle d’un appareil infecté, le trafic C&C doit être empêché en ligne et en temps réel avec l’aide de l’apprentissage automatique. Là encore, le passage de la détection à la prévention est possible avec les SOC s’ils sont correctement équipés pour combattre les menaces modernes à l’aide de l’automatisation.
- Réduisez le temps de réponse grâce à l’automatisation: L’automatisation de diverses fonctions de sécurité peut également contribuer à réduire l’effort manuel et la révision par les chercheurs en sécurité au sein du SOC. Lorsqu’il s’agit de reconnaître des modèles de malwares, l’intelligence artificielle (IA) se révèle plus puissante en corrélant les flux de données et en tenant compte du contexte. L’automatisation permet de soulager l’équipe du SOC et de limiter le nombre de faux positifs. Une vision globale de tous les flux de données est alors nécessaire. Cela permet non seulement de déclencher une alerte, mais aussi d’annoncer des mesures de quarantaine le cas échéant. Le temps consacré à entraîner un système est du temps bien investi pour contribuer, à terme, à une réduction de la complexité et des attaques.
- Préférez l’IA à la formation des employés: L’apprentissage automatique l’emporte également sur la formation des employés lorsqu’il s’agit de détecter les attaques par phishing. La sensibilisation du personnel est une mesure préventive, mais elle peine généralement à suivre l’évolution rapide des tactiques et techniques des attaquants. Les entreprises ne peuvent pas attendre de chaque employé qu’il reconnaisse les nouveaux modèles de phishing, ce qui signifie que l’apprentissage automatique doit être utilisé comme technique de lutte contre le phishing.
- Pensez comme un intrus : Les techniques de tromperie sont un autre moyen moderne de se défendre contre les attaques. Quiconque adopte le mode de pensée d’un attaquant comprend les actions du criminel et peut l’induire en erreur, de manière à protéger les actifs de l’organisation. Les attaquants qui peuvent se déplacer dans le réseau de l’entreprise recherchent des éléments de propriété intellectuelle ou des données sensibles qu’ils pourront utiliser pour leurs attaques. La mise en place de honeypots permet par conséquent de démasquer les intrus une fois qu’ils ont pénétré dans le réseau.
- Passez du SIEM aux plateformes de renseignement sur les menaces: La raison pour laquelle le système SIEM traditionnel est délaissé en tant que plateforme de corrélation des incidents de sécurité réside dans son administration complexe. Corréler le flot de données provenant de différents systèmes matériels qui ne parlent pas forcément le même langage et les examiner pour détecter les incidents de sécurité prend du temps et nécessite souvent une intervention manuelle. Une approche moderne basée sur une plateforme de renseignement sur les menaces réduit le travail de l’équipe de sécurité. Une console de gestion unifiée permet de voir ce qui se passe réellement dans l’infrastructure informatique. Une plateforme puissante s’appuie sur un contexte fort et des données qui peuvent réagir en ligne pour empêcher tout accès non autorisé ou toute perte de données. Le facteur décisif est qu’une telle plateforme déclenche également les étapes suivantes, empêchant les flux de données en présence d’indicateurs d’accès non autorisé ou de perte de données.
- Shift left, shift down : Enfin, la sécurité doit être mise en œuvre plus tôt dans le cycle de vie des applications des environnements Cloud actuels. L’objectif premier doit être d’éviter les erreurs de configuration susceptibles d’entraîner des vulnérabilités, et la sécurité intégrée à la conception commence avant le déploiement de l’infrastructure. Dans l’approche « shift left », la sécurité est mise en œuvre dans le processus de développement, tandis que l’approche « shift down » consiste à rapprocher la sécurité de la charge de travail elle-même, en tirant parti de nouvelles approches de segmentation telles que la segmentation basée sur l’identité. Une plateforme de protection des applications Cloud native (CNAPP) entièrement intégrée permet de répondre à ces exigences de mesures préventives précoces.
Éviter les compromissions
La lutte constante contre les incidents de sécurité crée un cercle vicieux. Or, les équipes informatiques ne devraient jamais être submergées au point de ne plus pouvoir apporter des améliorations. Elles doivent évaluer leurs ressources disponibles et consacrer davantage d’efforts aux premières étapes de la « Kill Chain » de la cybersécurité. En prenant un peu de recul et en se concentrant sur certains domaines clés de la prévention, les organisations peuvent se doter d’un environnement plus sûr dès le départ. Les entreprises doivent évaluer en permanence leur stratégie en matière de risques, y compris des facteurs tels que la complexité et les coûts d’exploitation.Même les compagnies de cyberassurance accordent davantage d’importance au fait d’auditer les organisations en fonction des mesures préventives qu’elles mettent en place pour réduire les risques. Dans le calcul des risques, ces mesures proactives et préventives doivent retrouver une place de choix pour empêcher toute attaque.
Par Tony Fergusson, RSSI EMEA chez ZScaler