Les cybermenaces existent depuis la naissance d'internet. Cependant, malgré l’expérience et la connaissance que nous en avons, les mêmes menaces continuent toujours de nous handicaper. Et pour cause, la lutte pour la cybersécurité est un combat sans fin. Le rythme des changements s'accélère et les actions cyber de contrôles qui s’avèrent adaptées aujourd’hui seront bientôt inefficaces. La cybercriminalité évolue, au même titre que la cybersécurité, et les méthodes de prévention doivent par conséquent être adaptées.
Les menaces pèsent toujours sur nos entreprises et nos institutions
Le pirate informatique, que nous imaginons travaillant seul derrière son ordinateur, n'est plus la principale menace. Les attaquants utilisent aujourd'hui des outils avancés basés sur que l'Intelligence Artificielle, le Machine Learning (ML) ou encore l'automatisation. D’ailleurs, un tout nouveau domaine, appelé Adversarial Learning, est récemment apparu dans le panorama des menaces. Dans ce contexte, les pirates forment des réseaux neuronaux destinés à tromper les algorithmes prédictifs et à les rendre invisibles aux yeux de ceux dédiés à la classification. Dans le domaine de la cybersécurité, ces algorithmes ont été utilisés pour modifier des fichiers malveillants, leur permettant ainsi de contourner les défenses heuristiques et les défenses assistées par le ML.
Le caractère insidieux des algorithmes adverses réside dans leur capacité à apporter de petits ajouts à un fichier qui, individuellement, n'ont aucun impact sur sa fonctionnalité. Au contraire, chaque modification vise à faire pencher les décisions d'un algorithme prédictif sur la classification en faveur de la menace. Au cours des prochaines années, les choses vont empirer, car les acteurs malveillants seront en mesure d'accélérer – en passant de plusieurs semaines à seulement quelques jours ou quelques heures - le cycle de vie complet d'une attaque, de sa reconnaissance à son exploitation.
Pour contrer les cybermenaces, il est nécessaire de se concentrer sur les personnes et les comportements, et non pas seulement sur la technologie. Les recherches ont montré que l'Homme reste le risque le plus important en termes de cybersécurité, résultant en grande partie d'un manque de sensibilisation, d’une certaine négligence ou de contrôles d'accès inappropriés. Malheureusement, la formation seule ne résoudra pas ces problèmes, pas plus que les tentatives de transformer tout le monde en expert en cybersécurité. Une approche plus efficace consiste à passer à une stratégie de sécurité axée sur la prévention en tirant parti de solutions intelligentes qui visent à entraver et à gêner les cyberattaques afin que les employés puissent se concentrer sur leur travail et non sur la cybersécurité.
De manière générale, cela inclut le blocage et la lutte contre les menaces au niveau des appareils, et le remplacement des défenses réactives basées sur les signatures par des systèmes de protection des endpoints alimentés par l'IA destinés à empêcher l'exécution de logiciels malveillants connus – et de type Zero-Day. L'accès des utilisateurs aux ressources doit également être contrôlé de manière dynamique sur la base d'évaluations des risques en temps réel de leur comportement actuel, tandis que des contrôles de sécurité axés sur l'utilisateur doivent être déployés à chaque point d'entrée du réseau d'entreprise et des applications cloud pour empêcher les employés à distance de violer accidentellement ou intentionnellement les politiques de sécurité.
DSI vs CISO : à qui la responsabilité de la cybersécurité ?
Le DSI et le CISO doivent conserver une propriété « conjointe » des responsabilités autour de la cybersécurité. Il est compréhensible que, dans de nombreux cas - en particulier parmi les petites et moyennes entreprises, avoir un CISO est un « luxe » que toutes les organisations ne peuvent pas se permettre. Quel que soit le titre que l'on porte ou l'organisation de soutien sous-jacente, les vecteurs de menace d'aujourd'hui requièrent davantage de personnes capables de comprendre l’étendu des connaissances des hackers pour gérer les menaces à court terme. C'est dans de telles situations qu'une relation stratégique et tactique avec un MSSP peut être considérée comme une approche intéressante.
Lorsque l’on parle de transfert de responsabilité, il ne s’agit pas d’aller à l’encontre du fait que la sécurité n'est pas seulement la responsabilité exclusive des responsables IT, mais plutôt une responsabilité détenue par l’ensemble des parties prenantes de l’entreprise. Cela dit, compte tenu du nombre de vecteurs de la menace aujourd'hui, les DSI et les RSSI doivent travailler main dans la main pour s'assurer qu'ils disposent de connaissances accrues sur les techniques utilisées par les acteurs malveillants tout en adoptant une approche Zero Trust. Comme l'ont montré les attaques de SolarWinds ou encore de Kaseya, la confiance des clients dans leurs fournisseurs de services est la principale raison du succès des attaques menées par les acteurs malveillants.
IT-OT et cybersécurité : une convergence nécessaire
Les entreprises doivent adapter la manière dont elles évaluent et renforcent la cybersécurité. Si les programmes de certification et les outils proposés par les institutions du secteur (ANSSI) sont de bons points de départ, les entreprises doivent également adopter un cadre holistique prenant en compte les infrastructures d'information critiques qui comportent des risques importants et constituent des cibles lucratives et à fort impact pour les acteurs utilisant les ransomwares.
Pour ce faire, elles peuvent se référer à des normes établies qui prennent en compte les vulnérabilités des OT. Les protections doivent être étendues aux appareils plus anciens, fonctionnant avec des systèmes d'exploitation d’anciennes générations déconnectés des réseaux et d'Internet. Dans ce contexte, une solution possible est l'utilisation d'une protection des endpoints basée sur le Machine Learning. Ce type de plateforme de protection des endpoints peut fonctionner sur des systèmes d'exploitation plus anciens. S'il est vrai que la sécurisation des infrastructures critiques est difficile en raison de la prédominance d'appareils anciens, vulnérables et sensibles, fonctionnant sur des systèmes d'exploitation anciens, elle n'est pas impossible. La sécurité doit simplement évoluer au-delà de la dépendance à l'égard des anciennes technologies défensives qui ne peuvent pas s'adapter pour prévenir les cyberattaques modernes.
2023 : les priorités pour les DSI
Les gens privilégieront toujours la commodité à la cybersécurité. C’est un fait que les DSi doivent garder à l’esprit. Par exemple, même si la plupart des gens peuvent améliorer leur sécurité personnelle en désactivant le GPS sur leurs smartphones, la plupart ne le font pas, car certaines applications cessent tout simplement de fonctionner. Par souci de commodité, la plupart des gens laissent le GPS activé.
L'avenir des cybermenaces reposera toujours sur cette dualité. Par conséquent, les DSI devraient baser leur cybersécurité sur une approche Zero Trust afin de s'assurer que les utilisateurs devront toujours prouver, de la manière la plus "transparente" possible, qui ils sont, que leur accès est autorisé, qu'ils ne sont pas malveillants et qu'ils accèdent légitimement aux ressources et au réseau de l'entreprise.
En écho aux nouvelles approches autour du travail, le Zero Trust part du principe qu'il n'y a plus de périphérie de réseau traditionnelle et adopte une approche plus rigoureuse, continue et dynamique de l'authentification des utilisateurs, à la différence que cela est mené de manière transparente pour éviter d'avoir un impact sur l'expérience de l'utilisateur.
Le Zero trust ne repose pas sur un produit ou un service unique, mais sur un changement de paradigme soutenu par un écosystème. La bonne nouvelle pour les DSI est que la plupart des entreprises ont déjà mises en place certains de ces composants. Pour mettre en œuvre le Zero Trust, les entreprises doivent évaluer la maturité de leurs systèmes d'identité, étant donné que la méthodologie repose sur ces éléments.
La cybersécurité est un domaine complexe. Les menaces restent toujours présentes malgré la connaissance que nous en avons car les hackers redoublent de créativité et utilisent nos nouveaux usages pour agir. Pour continuer efficacement à lutter, il est impératif de mettre en place des actions concrètes comme la formation, la sensibilisation, le déploiement d’une stratégie Zéro Trust, ou encore toutes autres technologies misent à notre disposition. Ce n’est que comme cela que nous pourrons nous défendre efficacement contre les cyberpirates.
Auteur : Arnaud Le Hung, Senior Channel Account Manager, France & Iberia, BlackBerry.