Les militaires l’appellent le brouillard de la guerre, tandis que les décideurs informatiques l’identifient comme un manque de visibilité sur l'ensemble des menaces dissimulées au cœur du réseau informatique comme étant un risque majeur pour leur entreprise.
Les spécialistes des confrontations guerrières parlent de brouillard de la guerre pour définir l’incertitude et le manque d’informations claires qui existent pendant les opérations militaires ou les conflits. Dans un environnement dynamique et imprévisible, où la complexité et le « chaos » sont la norme, les commandants s’efforcent de prendre des décisions en évaluant les risques et les chances de réussite, en se basant sur les informations dont ils disposent. Ceci pour coordonner leur réponse aux événements de la manière la plus efficace possible.
L’une des causes du brouillard de guerre est la tromperie intentionnelle et la désinformation employées par les adversaires. Les forces attaquantes peuvent employer des tactiques telles que le camouflage et la dissimulation, les campagnes de désinformation et les faux signaux pour tromper leurs adversaires. Cette manipulation délibérée de l’information contribue à l’incertitude et à la confusion sur le champ de bataille, ce qui rend difficile pour les décideurs de discerner les véritables intentions et les capacités de leurs adversaires.
Du champ de bataille au système d’information
Si on remplaçait les termes de commandant et de champ de bataille par responsable informatique et système informatique, cette définition s’applique toujours, et parfaitement, à la situation actuelle de la cybersécurité dans les entreprises.
Une étude paneuropéenne de Gatewatcher sur les menaces persistantes avancées met en lumière les principaux freins rencontrés par les entreprises, ainsi que les solutions qu’elles utilisent pour faire face aux défis de la sécurité cyber et des menaces APT. L’étude a été conduite par le cabinet Vanson Bourne auprès de 300 décideurs informatiques dans les trois premiers marchés européens : Royaume-Uni, France et Allemagne, dont 204 personnes étaient issues d’entreprises de 3 000 salariés ou plus ; les 96 décideurs informatiques restants faisaient partie d’entreprises entre 1 000 et 3 000 salariés.
Un manque de visibilité sur l’ensemble des menaces
L’étude révèle que le brouillard de guerre est la difficulté qui pose le plus de soucis aux responsables informatiques, car le manque de visibilité sur l’ensemble des menaces dissimulées au cœur du réseau informatique favorise l’exposition du système d'information aux infiltrations des infrastructures de grande ampleur. Interrogés sur les facteurs de risques pouvant favoriser les APT, près de la moitié des décideurs informatiques (47 %) identifient le manque de visibilité sur l’ensemble des menaces dissimulées au cœur du réseau informatique comme étant le risque majeur pour leur entreprise.
Selon l’étude, les menaces persistantes avancées sont souvent caractérisées par une phase initiale qui leur permet de dissimuler leur véritable cible. Certaines des attaques les plus récentes en démontrent l’efficacité. Par exemple, l’attaque par rançongiciel qui a visé les hyperviseurs VMware ESXi non protégés dans le monde entier en février dernier, compromettant plus de 3 200 serveurs dans plusieurs pays. Une application Microsoft mal configurée a également permis à des utilisateurs d’accéder et de modifier les résultats de recherche sur Bing.com en janvier 2023, mettant en danger les comptes des utilisateurs de Microsoft 365. En mars 2023, la compromission et l’exploitation frauduleuse des versions légitimes de l’application 3CX DesktopApp affectait plus de 600 000 entreprises et organisations, y compris la NHS, la Sécurité sociale du Royaume-Uni.
Des lacunes dans la sécurité de la chaîne d'approvisionnement
L’étude a le mérite de passer en revue les facteurs qui empêchent les décideurs de faire face à la menace avec efficacité. Ainsi, 47 % des répondants pointent le manque de visibilité sur les menaces cachées dans le réseau informatique comme un risque majeur. Tandis que 40 % estiment que leurs équipes de sécurité ne sont pas suffisamment compétentes pour faire face à ces risques.
De plus, 35 % des participants soulignent les lacunes dans la sécurité de la chaîne d’approvisionnement, en particulier au niveau des points terminaux, comme une menace pour leur organisation, et 30 % citent les faux positifs et la lassitude face aux alertes comme un facteur compromettant la sécurité. En outre, 29 % des répondants considèrent les prestataires connectés aux systèmes d’information de leur organisation comme un risque face aux menaces APT.
Selon certains répondants, leurs équipes sont dans le brouillard lorsqu’il s’agit d’identifier des APT, ce qui reste un défi pour 25 % des acteurs interrogés en Europe. Ils affirment avoir du mal à comprendre les méthodes et les vecteurs d’attaque. Parmi les freins technologiques, l’intégration de celles-ci pose encore un problème à une trop grande proportion : environ 21 % des décideurs ont du mal à répondre aux besoins technologiques, avec une proportion plus élevée en Allemagne (30 %). De plus, 15 % des répondants ont des difficultés à contrer les attaques de type APT.
Combiner externalisation et pile technologique
Pour répondre au défi technologique, l’externalisation est adoptée par un peu moins d’une entreprise sur cinq (20 %), qui confie sa protection face à cette typologie de menaces à des fournisseurs de services (MSP) ou des fournisseurs de services de sécurité (MSSP). Cette protection semble également susciter une grande vigilance, puisque 28 % des acteurs sondés estiment qu’une mauvaise communication de la part d’un prestataire de services peut compromettre la sécurité de leur organisation.
Quant aux outils auxquels recourent les répondants, ils sont constitués d’une combinaison de technologies de protection qui se complètent. La préférence des répondants va toutefois aux solutions de détection et de réponse : 55 % des sondés classent les solutions de détection et de réponse (NDR) parmi les principales technologies utilisées par leur organisation pour se défendre.
Parmi les technologies de détection et de réponse, celles dévolues aux points d’accès (EDR) sont les plus utilisées pour lutter contre les menaces persistantes avancées (APT), avec une adoption de 62 %, suivies par les pare-feu (57 %). Les systèmes de gestion des événements et des informations de sécurité (SIEM) ainsi que les solutions de détection et de réponse réseau (NDR) sont utilisés respectivement par 56 % et 55 % des entreprises. La technologie de détection et de réponse étendues (XDR) est utilisée par 38 % des organisations. Le marché des solutions NDR devrait connaître une croissance significative, atteignant environ 5,4 milliards de dollars d’ici 2028, avec un taux de croissance annuel composé estimé à 13,7 % entre 2022 et 2028.
Identifier les comportements suspects et les menaces dissimulées
Les solutions NDR sont particulièrement attractives pour les entreprises confrontées aux APT, car elles permettent d’identifier spécifiquement les comportements suspects et les menaces dissimulées dans le réseau. Ces solutions répondent au défi majeur identifié par près de la moitié des décideurs informatiques, qui est le manque de visibilité sur les menaces dissimulées dans leur réseau.
De plus, elles contribuent à pallier le manque de compétences au sein des équipes de sécurité informatique, une carence mentionnée par 40 % des décideurs. L’intérêt croissant pour les solutions NDR et l’attention portée aux solutions EDR sont justifiés par leur capacité à fournir une analyse rapide, une haute visibilité sur les comportements suspects, une réponse intelligente et une détection améliorée des menaces, offrant ainsi une protection efficace contre les intrusions.