Il n’y a pas si longtemps, avant la pandémie, on se disait volontiers que la gestion du périmètre de sécurité était un problème complexe. Mais aujourd'hui, avec des employés à domicile, de nouvelles applications vidéo et de collaboration intégrées dans les flux de travail quotidiens et une surveillance physique réduite des dispositifs et des accès, la sécurité d’avant pandémie qui pouvait paraître plus hermétique laisse désormais rêveur.

La crise de COVID-19 a mis l’accent sur les risques de sécurité, mais ces derniers n’avaient pas attendu la pandémie : ils croissaient d’année en année. Les entreprises dépendent de plus en plus des services numériques et des systèmes basés sur le cloud, et la pandémie accélère cette transformation technologique : l'étude d'impact sur le marché COVID-19 d'IDC pour 2020 a révélé que 56 % des organisations "intensifient leur présence en ligne" à la recherche de nouveaux revenus. Avant la pandémie, les entreprises se transformaient à leur propre rythme. Aujourd'hui, les entreprises sont obligées de rechercher de nouvelles sources de revenus en ligne, ce qui accélère et rend plus urgents les efforts de transformation numérique.

À mesure que le paysage technologique s'élargit, les collaborateurs font une utilisation croissante de leurs équipements personnels, ce qui augmente le nombre des vecteurs d'exploitation de vulnérabilités. À l'extérieur de l’entreprise, les clients et les partenaires veulent bénéficier de moyens plus simples, plus rapides et plus modernes de collaborer avec l’entreprise, ce qui expose cette dernière à des risques encore plus importants. Les équipes de sécurité sont donc amenées à protéger un environnement plus étendu et plus complexe, et à le faire plus rapidement et plus efficacement, le tout avec des ressources réduites. Il est clair que les méthodes, processus et outils utilisés jusque-là ne suffiront pas à répondre à ce besoin.

La surface d’attaque s’élargit, mais les ressources diminuent

Le Gartner a récemment souligné que près des deux tiers des entreprises ont effectué des "coupes budgétaires importantes" en raison du coronavirus. À court terme au moins, “faire plus avec moins” sera la nouvelle norme.

Les équipes de sécurité sont désormais confrontées à deux options : maintenir le statu quo tout en luttant pour faire face aux menaces, ou modifier fondamentalement la façon dont elles conçoivent la sécurité afin d'accroître la vitesse, l'agilité et l'impact de leurs actions.

Un des domaines de transformation fondamentale pour les équipes de sécurité est la consolidation des applications et des fournisseurs. Toutefois, la réduction des services en fonction du coût n'est pas la meilleure solution : il existe une façon plus logique et efficace d'évaluer la pile de sécurité et de faire quelques pas vers l'équilibre entre les besoins de sécurité et les avantages de chaque application.

Optimiser la pile de sécurité

Tout d'abord, il convient d’identifier les outils qui ne rapportent que peu de valeur ou qui sont rarement utilisés. La consolidation, si elle est menée dans l'ensemble de l’entreprise, réduit la surface de menace et permet de réaliser des économies. Selon M. McKinsey, jusqu'à "30 % des dépenses informatiques peuvent être économisées", notamment en "déclassant les applications peu utilisées".

Ce même concept peut être appliqué aux outils de sécurité. Les entreprises de taille moyenne utilisent jusqu'à 60 outils de sécurité, alors que les grandes entreprises peuvent en cumuler bien plus de 100. Il y a forcément des fonctionnalités redondantes parmi ce large éventail d’outils, mais il y a aussi des lacunes que même tous ces outils ne sont pas en mesure de combler. Chaque solution utilisée pour un besoin spécifique ou ponctuel augmente la dépense financière et en ressources humaines consacrées à son administration, pour donner un sens aux données recueillies et comparer les résultats avec ceux de dizaines d'autres outils potentiellement dé-corrélés des autres systèmes et isolés.

Or il est possible d'accroître l'efficacité tout en réduisant les dépenses et le nombre de solutions utilisées en travaillant avec des fournisseurs privilégiés pour étendre leurs services et leurs solutions. Mieux encore, plusieurs solutions existantes peuvent être remplacées par une solution unique, plus moderne et plus efficace.

Obtenir plus de valeur, tout en limitant le nombre de fournisseurs

La consolidation permet d'économiser de l'argent, de réduire la complexité tout en augmentant les avantages et l’efficacité. De nombreuses équipes de sécurité en tirent parti, car elles sont confrontées à la double pression budgétaire et à l'augmentation des surfaces de menace.

Mais réduire le nombre d’outils au spectre d’action limité n'est pas une solution en soi. Ces systèmes ont été jugés nécessaires à un moment donné, donc si leur élimination supprime une charge en termes de ressources et de budget, elle augmente le risque que certaines menaces passent entre les mailles du filet.

Une approche holistique de la sécurité permet de se concentrer sur la réduction du risque global, et donc de chercher à combler les lacunes tout en consolidant les outils et les fournisseurs. Chaque outil et ses avantages doivent correspondre à un risque important dans le cadre de la sécurité. En outre, chaque outil doit réduire le risque global, en présenter une réduction quantifiable et doit pouvoir garantir le maintien de cette réduction du risque.

Si un fournisseur de sécurité de confiance est déjà identifié, il faut faire en sorte d’évaluer avec lui comment ses autres solutions et services peuvent aider à améliorer la sécurité et à réduire les risques au sein de l’organisation. Le constat sera peut-être que plusieurs autres outils et fournisseurs peuvent être supprimés.

Par exemple, la pandémie de COVID-19 a ajouté des facteurs de stress supplémentaires aux équipes de sécurité car les cybercriminels ont vu une opportunité de tirer profit du chaos qui en résultait. Ainsi Starbucks a décidé de se faire aider pour la conduite de son programme de divulgations de vulnérabilités et de tri de ces dernières, pour soulager les équipes de ces tâches. Verizon Media a lancé un nouveau programme de Bug Bounty pour limiter les risques de compromission sur une surface d'attaque étendue et multimarque.

Identifier et attribuer un retour sur investissement à la multitude d'outils de cybersécurité de son écosystème tout en comprenant mieux l’étendue de la surface d'attaque est un exercice qui permet d’y voir plus clair. D'autant plus que de nouvelles failles de sécurité sont susceptibles de se creuser au cours des transformations numériques en cours. Les solutions de sécurité utilisées par des hackers peuvent aider à identifier les lacunes et à consolider les solutions monofonctionnelles au sein d’une seule plateforme pour une gestion facilitée et un retour sur investissement non seulement mesurable, mais calculé.

Par Russell Coleman, Consultant en Bug Bounty chez HackerOne