Les cyberattaques d’envergure, à fort impact et durables, exigent une phase amont de développement et de planification importante et coûteuse. Le scénario le plus probable est donc celui d’une réutilisation de techniques existantes, à l’instar de ransomware ou d’attaques de déni de service. Mais on ne peut exclure des attaques basées sur des agents dormants, qui consistent à installer des agents logiciels sur des systèmes critiques en temps de « paix » relative, puis de les activer à distance en cas de crise.

La vraie problématique consiste à se préparer à un tel évènement. Les cibles potentielles sont diverses : sites gouvernementaux officiels, entités commerciales de premier rang, infrastructures critiques, etc. Bien sûr, les entreprises doivent faire face à des cybercriminels motivés, si bien que les actions visant à contrer cette menace doivent déjà faire partie des stratégies de cybersécurité.

6 initiatives à mettre en œuvre dès aujourd’hui

Les entreprises sont incitées à se préparer à une éventuelle cyberattaque et protéger leurs ressources, en activant 6 leviers essentiels :

  • Une segmentation pertinente du réseau: les ressources critiques doivent être dissociées, tandis qu’une segmentation de type Intent-based doit être appliquée pour s’assurer que les dispositifs, les ressources et les données qui transitent en permanence vers et à partir du réseau sont associés à leur segment approprié, de manière dynamique et via une règle. Une segmentation efficace s’assure qu’un dysfonctionnement sur un domaine ne peut s’étendre et lourdement peser sur d’autres segments du réseau.
  • La redondance des liens de communication : la pérennité des communications vers et entre les éléments disséminés sur le réseau est essentielle. Les modèles WAN traditionnels sont particulièrement vulnérables à des attaques de types DDoS. D’où l’intérêt d’un modèle de réseau SD-WAN sécurisé qui permet aux entreprises de modifier en temps réel leurs chemins de communication sur la base de différents critères, dont celui de la disponibilité.
  • La protection des données critiques : compte tenu de la prévalence des attaques par ransomware, chaque entreprise doit assurer une sauvegarde régulière des données critiques qui seront stockées hors ligne. Ces données doivent être analysées régulièrement à la recherche de malware dissimulés. De plus, les entreprises sont invitées à tester et valider leur capacité à redéployer rapidement les données ainsi sauvegardées vers les systèmes et dispositifs critiques, s’assurant ainsi que les réseaux peuvent être de nouveau opérationnels, le plus rapidement possible.
  • Tirer parti de l’intégration et de l’automatisation : une plateforme intégrant tous les dispositifs de sécurité assure que ces derniers partagent et corrèlent les informations de veille sur les menaces, mais aussi contribuent de manière transparente et coordonnée à répondre à une menace. Les fonctions EDR (Endpoint Detection & Response) et SOAR (Security Orchestration Automation & Response) permettent de détecter une attaque, puis d’orchestrer et d’automatiser sa prise en charge.
  • Inspection des communications électroniques : l’email reste le vecteur d’attaque de prédilection pour infecter les dispositifs et systèmes à l’aide d’un malware. Au-delà de la sensibilisation des collaborateurs à la détection et la lutte contre les attaques de phishing, des passerelles de sécurité email doivent pouvoir identifier et inspecter les fichiers malveillants joints aux emails, au sein d’un environnement sécurisé et cloisonné de type sandbox. Dans le même état d’esprit, des pare-feux nouvelle-génération doivent être déployés sur le périmètre réseau pour examiner les communications internes chiffrées et identifier d’éventuels logiciels malveillants et modules furtifs de communication C&C (Command-and-Control).
  • S’abonner à des flux d’informations de veille sur les menaces : s’abonner à plusieurs flux de veille et participer à des communautés de partage d’informations sur les menaces permet d’être à jour des vecteurs d’attaque et malware les plus récents. En tirant parti de cette veille, et en l’intégrant au sein d’une plateforme de sécurité intégrée, les entreprises peuvent identifier des indicateurs associés à des menaces (signatures de logiciels malveillants susceptibles de cibler le réseau ou le secteur d’activité) pour ainsi les neutraliser après détection, voire prévenir leur capacité à infecter le réseau.

La cybersécurité est un sport d’équipe

Pour se défendre efficacement contre une cyberattaque menée avec détermination, nous sommes tous appelés à collaborer en équipe dans le cadre de la prévention, de la détection et de la prise en charge des menaces. Et cela concerne de nombreux acteurs, qu’il s’agisse d’organismes gouvernementaux, d’instances professionnelles et sectorielles, ou encore de communautés de fournisseurs de solutions de sécurité comme la Cyber Threat Alliance. Cette approche collaborative doit être associée à une stratégie efficace de prise en charge des incidents au sein des organisations, qui incite les professionnels de la sécurité à protéger les ressources, à accélérer la reprise post-incident via les données sauvegardées et les ressources isolées, et à obtenir le support d'organismes publics et des forces de l’ordre.

Par Christophe Auberger, CTO, CISO Advisor, Cyber Security Evangelist, Innovation advocate, chez Fortinet