par Antonio Varriale, Group CTO et Giorgia Somma, Business Development Manager chez Blu5
Table des matières
La sécurité absolue est absolument impossible
Après tout, il suffit d’un clic pour compromettre un réseau entier. Dans les années à venir, il faudra que les utilisateurs fassent preuve d’une diligence constante et que les principales parties prenantes investissent pour favoriser un environnement véritablement sécurisé.
L’époque où l’on cochait une case pour des raisons de conformité est révolue. Ou de supposer que les notes de risque moyennes du secteur sont suffisantes. C’est exactement le type d’état d’esprit que les cybercriminels recherchent pour choisir leur prochaine cible.
Les acteurs de la menace ciblent de nouveaux secteurs d’activité et utilisent des tactiques de pression plus fortes pour aggraver les conséquences de l’infection et rendre les méthodes de détection fiables trop lentes. Les options de réponse deviennent plus compliquées.
Les attaques se multiplient et sont plus sophistiquées. Les pirates professionnels recrutés pour des opérations spécifiques sont une réalité ; ils ont un accès rapide aux vulnérabilités de type « zero-day » et sont prêts à compromettre une chaîne d’approvisionnement pour atteindre leur véritable cible.
Selon le rapport de Gartner sur les principales tendances en matière de sécurité et de risque pour 2021, les changements stratégiques en cours dans l’écosystème de la sécurité devraient avoir un large impact sur l’industrie et un potentiel de perturbation important.
Gagner du terrain sur les cyberattaquants
Gérer la sécurité et se tenir au courant des dernières tendances en matière d’attaques est coûteux et loin d’être infaillible. De nombreuses attaques passent inaperçues pendant des mois, les menaces évoluent constamment et les motivations ont changé, passant du statut de passe-temps à celui d’activité lucrative. Malgré une sensibilisation accrue et un passage général de mesures de sécurité réactives à des mesures proactives, les équipes de sécurité sont toujours en retard en matière de protection, tandis que les cybercriminels ont rapidement adapté leurs tactiques à l’évolution de la surface d’attaque.
Pendant trop longtemps, les organisations se sont concentrées sur la mise en place de couches de protection pour les réseaux, les systèmes et les données, avec l’illusion qu’une telle stratégie empêcherait les méchants d’entrer. La réalité est qu’aujourd’hui, les responsables de la sécurité disposent de trop d’outils. « Dans l’enquête 2020 sur l’efficacité des RSSI, Gartner a constaté que 78 % des RSSI ont 16 outils ou plus dans leur portefeuille de fournisseurs de cybersécurité ; 12 % en ont 46 ou plus et les cyberattaques continuent d’augmenter.
L’ouverture de votre paysage de sécurité à plusieurs fournisseurs signifie que vous aurez un nombre accru de vulnérabilités et d’expositions communes à prendre en compte. Cela peut être coûteux et prendre du temps. L’audit de conformité implique la collecte d’un grand nombre de documents, le passage d’une plateforme à l’autre et, d’une manière générale, l’utilisation d’une part beaucoup plus importante de vos ressources internes.
Selon le rapport de Gartner, 80 % des entreprises pensent que la consolidation des fournisseurs est la bonne voie pour réduire les coûts et améliorer la sécurité.
Tout bien considéré, les organisations et leurs utilisateurs ne seront jamais totalement à l’abri du cyber-risque. Tenter de l’éliminer totalement, avec une approche de sécurité en couches, serait non seulement impossible, mais entraverait également l’agilité, car un environnement présentant un niveau de risque acceptable favorise l’innovation.
En fait, un véritable changement du paradigme de la sécurité est nécessaire : passer d’une posture de cybersécurité à une posture de cyberrésilience. En bref, plutôt que de consacrer de plus en plus de temps et de ressources à empêcher les méchants d’entrer dans une bataille inégale et perdue d’avance, il faut simplifier l’infrastructure de sécurité pour qu’elle soit vraiment nécessaire et s’efforcer de devenir cyber-résiliente.
La cyber résilience implique d’accepter le fait qu’aucune solution de cybersécurité n’est parfaite ou capable de protéger contre toutes les formes possibles de cybermenaces. Pour atteindre la cyber-résilience, les organisations doivent abandonner les infrastructures de sécurité fragmentées au profit d’une infrastructure optimisée en fonction des besoins opérationnels et capable de donner aux équipes informatiques les moyens de maintenir les opérations en permanence malgré les difficultés.
Qu’est-ce que la cyber-résilience ?
Le concept de résilience est utilisé depuis des décennies dans plusieurs disciplines, comme la médecine, la physique, les sciences sociales et la science des matériaux, pour mesurer la capacité à se remettre rapidement d’événements traumatisants.
Le même concept a été récemment introduit dans le monde numérique sous le nom de « cyber-résilience ». Bien que sa définition soit largement acceptée comme une mesure de la capacité d’une entreprise à gérer les cyberattaques ou les violations de données, tout en continuant à exercer ses activités de manière efficace, la manière dont la cyber-résilience devrait fonctionner dans une infrastructure réelle reste assez floue et subjective.
Comme cela se produit généralement dans les opérations de marketing et de vente, lorsqu’un nouveau concept devient viral et commence à créer de nouvelles opportunités et tendances sur le marché, les fournisseurs commencent rapidement à remodeler leur offre pour répondre aux attentes des nouveaux clients.
En ce qui concerne le concept de cyber-résilience, nous constatons que presque tout le monde est d’accord avec sa définition. Cependant, l’application pratique de la recette numérique ressemble beaucoup plus à une réutilisation débridée des solutions traditionnelles, parfois accompagnée de nouvelles fonctionnalités d’amélioration coûteuses, qu’à un véritable changement de paradigme visant à simplifier l’infrastructure de sécurité et à déployer des avantages réels.
Le résultat final est une course aux armements très coûteuse, qui n’offre pas vraiment aux entreprises la possibilité de poursuivre leurs activités même en cas d’attaque. Au contraire, dans la plupart des cas, cette approche ne fait que générer des coûts supplémentaires et compromet la capacité d’adaptation et de récupération des entreprises.
Selon la plupart des acteurs de la cybersécurité, la cyber-résilience comprend quatre composantes principales : la protection, la capacité de récupération, l’adaptabilité et la durabilité.
Cette représentation peut sembler être une extension efficace des stratégies traditionnelles de cybersécurité (prévention, détection, réaction, …). Cependant, elle est basée sur un simple enrichissement quantitatif des opérations standard et des meilleures pratiques pour faire face à l’adaptation continue à un paysage de sécurité changeant.
Le fait est que, tôt ou tard, même les organisations les plus structurées pourraient être vaincues dans ce jeu de pouvoir et que les menaces finiraient par se transformer en attaques réussies.
Qu’arrive-t-il à votre entreprise lorsque vos mesures de cybersécurité échouent ?
Du point de vue du client, une stratégie de cyberrésilience devrait fonctionner même lorsque les mesures de cybersécurité sont contournées et que votre infrastructure est compromise.
Dans cette hypothèse, une représentation plus précise de la cyber-résilience peut être conçue. Les clients méritent bien plus qu’une extension discutable des stratégies traditionnelles de cybersécurité. La cyber-résilience doit fournir un moyen parallèle d’aller de l’avant lorsque la ligne de défense traditionnelle ne fonctionne pas.
Prenons l’exemple d’un scénario de pandémie, en remplaçant les stratégies traditionnelles de cybersécurité par des procédures de sécurité visant à prévenir, détecter et réagir.
Dans ce contexte, la prévention est un ensemble de procédures visant à minimiser le risque d’infection, comme la distanciation sociale, l’utilisation de masques et d’autres protections physiques, le lavage obsessionnel des mains, le nettoyage des objets, etc.
La détection est la capacité de déterminer si des objets ou des individus ont été ou sont actuellement contaminés par des organismes infectieux. La réaction est la capacité à prendre une action immédiate une fois l’infection détectée, telle que l’hospitalisation des personnes, …
Selon la première représentation, basée sur la perspective du fournisseur, la cyber-résilience devrait simplement améliorer et étendre les procédures ci-dessus afin, par exemple, d’améliorer le processus lorsqu’une deuxième vague d’infection apparaît (adaptabilité) ou de mettre régulièrement à jour les procédures avec de nouvelles restrictions et règles (durabilité), …
Cependant, si les processus ci-dessus échouent et qu’une personne est infectée, il n’y a aucune garantie de guérison effective et, dans certains cas, l’issue peut être fatale.
D’autre part, dans la deuxième représentation basée sur la perspective du client, une stratégie de cyber-résilience suppose que toutes les procédures ci-dessus peuvent tôt ou tard échouer (modèle de violation supposée), de sorte que toute personne ainsi que tout objet est potentiellement un vecteur d’infection (confiance zéro).
Dans ces hypothèses, un changement de règles est nécessaire (changement de paradigme). Par exemple, une stratégie de vaccination garantit que les gens continuent à vivre leur vie normale (c’est-à-dire à faire fonctionner leur entreprise efficacement) même lorsque les procédures traditionnelles de prévention, de détection et de réaction (c’est-à-dire la cybersécurité traditionnelle) échouent, offrant ainsi une ligne de conduite parallèle.
Il est clair que la cyber-résilience n’est pas seulement une extension ou une amélioration des processus, techniques et solutions de sécurité traditionnels. Un véritable changement de paradigme est nécessaire pour jouer le jeu cybernétique d’une manière nouvelle et perturbatrice.
Une approche de logique inverse pour tenir les ransomwares à distance
Les solutions Blu5 aident les organisations à devenir cyber-résilientes et à maintenir la continuité des opérations en adoptant une approche de logique inverse axée sur les principes suivants :
- Réduire la complexité de l’infrastructure sécurisée en éliminant les technologies obsolètes ; se concentrer sur l’atténuation des problèmes de sécurité plutôt que d’en éradiquer les causes.
- Construire des chemins d’accès uniquement après avoir appliqué des contrôles réussis, en abolissant le concept de routes prédéfinies exposées au WAN
- Les services sont virtuellement exécutés sur le point d’extrémité pour être utilisés plutôt que de donner accès à l’ensemble du réseau de l’entreprise
- Appliquer le contrôle d’accès à la source : autoriser les bons au lieu de détecter les mauvais.
Blu5 introduit un changement de mentalité qui bouleverse les fondements de l’infrastructure de sécurité.
