par United Biometrics

Les fuites de données médicales sont-elles un cas grave ? La réponse est définitivement oui.

À la lumière du GDPR, des règles strictes doivent être mises en place pour protéger les données personnelles et éviter que des tiers obtiennent la connaissance des risques qu’une personne représente lors de la signature d’une police d’assurance ou simplement d’un contrat de travail. Cet accès inapproprié aux données médicales personnelles peut avoir des conséquences majeures sur la vie de la personne.

La plupart des gens ne savent pas la valeur que leur dossier médical personnel a pour les entreprises extérieures, les avocats ou les recruteurs. Il s’agit en effet de la partie la plus intime de la personne, qui ne devrait jamais être communiquée à une partie non autorisée. Une personne à qui l’on a diagnostiqué un cancer, qui a été vaccinée contre la malaria ou qui souffre d’une maladie spécifique ne devrait pas être empêchée de trouver un emploi, de souscrire une assurance-vie ou d’acheter une maison.

Le risque lié aux données médicales

Toutes les informations médicales sont soumises à une protection stricte de la confidentialité entre les professionnels de la santé (médecins) et, bien sûr, les patients. Le RGPD, Le Règlement Général sur la Protection des Données a pour but de forcer toutes les organisations à protéger la vie privée, y compris les données médicales.

Les données médicales sont-elles confidentielles ?

La réponse est oui et toutes les communications entre un médecin et son patient, toutes les prescriptions écrites, les radiographies ou autres dossiers d’imagerie doivent rester strictement confidentielles et ne peuvent être réutilisées par des organisations privées ou publiques à des fins ou des décisions commerciales.

Mais comment assurer la sécurité des données médicales ?

Autrefois – mais c’est toujours le cas aujourd’hui – les données médicales se présentaient sous forme écrite avec des radiographies d’accompagnement à rapporter à chaque visite chez le médecin. Aujourd’hui, la tendance est de tout stocker sur des serveurs avec un accès numérique. Il existe des applications intéressantes qui gèrent toutes les données médicales d’un patient dans un seul fichier. Toutefois, ces applications doivent être protégées contre les pirates externes, étant donné que la valeur des informations stockées est très élevée et qu’elles ne peuvent être traitées comme des données standard.

Quelle est la nécessité de partager les données médicales tout en préservant la confidentialité ?

Bien que les données soient confidentielles, elles doivent être partagées par plusieurs personnes, qui peuvent être des médecins, des réceptionnistes, le patient lui-même, sa famille et parfois des soignants, selon l’âge, la mobilité et les capacités cérébrales du patient. Pour partager un dossier numérique, il y a un login/mot de passe classique. Au sein de l’hôpital, par exemple, la plupart des médecins ou du personnel soignant connaissent le mot de passe, qui se veut simple pour faciliter l’accès à l’application et être pratique. C’est là que le problème se pose.
Est-ce que je veux que les médecins, les radiologues, les réceptionnistes regardent mes consultations confidentielles ? Oui, si je sais que l’accès est contrôlé par un processus d’authentification forte, car il est évident qu’ils tapent tous des lettres et scannent toutes sortes de notes. Mais en tant que patient, je mérite un accès prioritaire à mes propres données médicales, à mon histoire médicale personnelle. Et je veux être le seul à donner l’autorisation aux autres de consulter mes données.
Le patient doit pouvoir offrir à l’équipe médicale (médecins, chirurgiens, radiologues, infirmières, etc.) l’autorisation d’accéder à ses propres données (scanners, ordonnances, analyses de sang, etc.) à une personne de son choix pour une heure, une semaine ou une période plus longue.
Le patient est donc le seul à gérer les autorisations d’accès à ses données personnelles.

Comment contrôler l’accès à mon dossier médical personnel ?

Aujourd’hui, l’authentification biométrique est un outil très puissant pour relever les défis de la sécurité et de la confidentialité. La dynamique du clavier sur un PC ou un Mac (technologies comportementales) est une technologie avancée capable d’identifier ou d’authentifier une personne par la façon dont les lettres sont frappées sur le clavier. Il s’agit d’une méthode très pratique pour les médecins, ou le personnel d’un hôpital autorisé à traiter des données médicales personnelles.
D’autres méthodes consistent à permettre au patient d’utiliser une signature rapide sur l’écran d’un smartphone, ou même un selfie pour s’authentifier et avoir accès aux données.
Le 1er Observatoire mondial de la cybersécurité s’est entretenu avec Christopher Richard et Yves Chemla de United Biometrics qui ont tous deux déclaré : « L’un des principaux avantages de notre solution est que plusieurs membres du personnel médical, le patient lui-même et sa famille ou ses soignants peuvent avoir accès aux informations numériques, nommées le dossier du patient, avec un très fort niveau de confidentialité et de protection des données personnelles. C’est un moyen très convivial d’accéder aux données à partir d’un PC, d’un Mac, d’un smartphone ou d’une tablette, tout en conservant tous les dossiers de manière extrêmement sûre ».

[Christopher RICHARD et Yves CHEMLA sont les co-fondateurs de UNITED BIOMETRICS. United Biometrics est un partenaire certifié IBM, AIRBUS et DEDALUS qui conçoit et développe une solution de plate-forme d’authentification multi-facteurs forte pour les banques, les hôpitaux et les laboratoires pharmaceutiques, les gouvernements et la défense, les entreprises, les transporteurs et les acteurs de l’Internet qui perdent de l’argent ou de la capacité de service en raison d’importantes cyber-attaques et intrusions. La plateforme peut accueillir des millions d’utilisateurs et supporter un trafic massif en temps réel.]

par Kumar Ritesh, fondateur et PDG de Cyfirma

Cybersécurité axée sur le renseignement

On estime que la cybercriminalité coûtera au monde 6 000 milliards de dollars par an d’ici 2021. Plus d’un milliard de programmes malveillants sont actuellement en circulation. Et selon une étude de la Clark School, il y a une cyberattaque toutes les 39 secondes.

De toute évidence, les mesures prises par les praticiens de la cybersécurité pour gérer les cyberrisques et prévenir les cyberattaques ne fonctionnent pas. Une stratégie de cyberdéfense centrée sur les contrôles de sécurité et faisant largement appel à des pare-feu et à des logiciels antivirus est tout simplement insuffisante pour gérer l’assaut des cybermenaces.

Le secteur a été formé et entraîné à prêter attention aux alertes, incidents et violations de la cybersécurité. C’est ce que nous appelons des « cyberévénements ». Nos cerveaux ont été câblés pour sauter et agir dès que nous voyons une lumière rouge clignotante sur un tableau de bord SIEM ou SOAR.

Et nous réagissons, en masse, lorsqu’un véritable cyberincident s’est déjà produit. Un cyberincident attire l’attention de tout le monde dans la hiérarchie de l’entreprise, du personnel de base au conseil d’administration.

Pour réduire efficacement le nombre de cyberintrusions, un changement radical de mentalité est nécessaire. Les dirigeants doivent redéfinir le concept d’une cyber posture forte et reléguer la sécurité basée sur les événements à la place qui lui revient : celle d’une approche inférieure de la gestion des cyber risques et des menaces.

Un état d’esprit axé sur les événements

Permettez-moi de vous présenter quelques scénarios pour illustrer ce à quoi ressemble un état d’esprit typique basé sur les événements dans une organisation.

Une équipe d’exploitation informatique passe son temps à rechercher des corrections de bogues et des correctifs de sécurité, à résoudre les problèmes informatiques des utilisateurs (« Au secours ! Je crois que j’ai cliqué sur un truc bizarre ! »), à effectuer des sauvegardes de données et à réaliser d’autres tâches opérationnelles. Ces fonctions quotidiennes permettent à chacun d’être productif. Lorsqu’un cyberincident ou une violation de données se produit, les alarmes se mettent à sonner. Les mesures correctives prennent le pas sur les autres et deviennent prioritaires. L’équipe se concentre à 100 % sur la résolution du cyberincident.

Lorsqu’elle étudie la violation, elle se concentre sur la réalisation d’une enquête technique, l’analyse du logiciel malveillant qui vient d’atterrir ainsi que de sa signature et de son modèle malveillant, et peut-être même sur la tentative de réingénierie de l’attaque, si le temps le permet. Le plus souvent, un effort herculéen est investi dans la récupération des données et la remise en service des applications. Ensuite, l’équipe reste assise et attend le prochain incident.

Une cybersécurité basée sur l’intelligence

Les organisations qui ont une mentalité basée sur les événements sont en mode d’hyper-alerte lorsque l’audit annuel de l’informatique, des risques et de la gouvernance arrive. Toutes les initiatives en matière de cybersécurité qui avaient été reportées l’année précédente deviennent soudainement urgentes et importantes, et des mesures sont prises pour les aligner sur la conformité à l’audit.

Lorsqu’un événement commercial important se produit, comme l’expansion sur un nouveau marché ou la fusion avec une autre entreprise, les contrôles, les personnes et les processus de cybersécurité sont de nouveau à l’ordre du jour. Un procès concernant la protection de la vie privée accroît également l’importance et le profil de la cybersécurité au sein de l’entreprise.

La sensibilisation et l’éducation à la cybersécurité sont introduites auprès de tous les employés lorsqu’un incident s’est produit ou pour se conformer aux règles du secteur. Dans les scénarios ci-dessus, les actions visant à renforcer la posture et les contrôles en matière de cybersécurité n’interviennent qu’après un événement négatif. L’appel à la connaissance de la situation devient une simple réaction réflexe. Une approche proactive et holistique de la gestion des menaces et des risques, connus ou non, est tout simplement absente.

Un état d’esprit axé sur l’intelligence

Maintenant, retournons la situation.

Lorsque les dirigeants envisagent la cybersécurité de l’extérieur en adoptant une approche axée sur le renseignement, ils savent que les équipes chargées des opérations de sécurité ne se contentent pas de réagir aux événements et aux alertes, mais qu’elles se lancent dans une chasse proactive aux menaces.

En tant que responsable de la sécurité, votre mesure du succès n’est pas le nombre d’incidents que vous avez gérés, mais le nombre de menaces potentielles que vous avez découvertes et corrigées.

En abandonnant le syndrome de la cybersécurité axée sur les événements (où les alertes, les incidents, les violations, les audits, la conformité et la confidentialité sont prioritaires), vous adoptez les idées, les signaux et les renseignements cybernétiques comme principes directeurs pour renforcer votre posture de cybersécurité.

Les ressources sont affectées à l’identification proactive des vecteurs d’attaque potentiels et à la mise en place de contrôles de sécurité appropriés. Les responsables de la sécurité s’attachent à démêler le contexte entourant un indicateur de menace (motif de l’attaque, intention, etc.) et ne se contentent pas de remédier aux indicateurs de compromission (IP, signatures, modèles, fichiers malveillants, etc.).

On attend des dirigeants qu’ils prévoient une cyberattaque et qu’ils assurent la cyberpréparation avant qu’un événement ne soit déclenché. La connaissance du paysage des menaces externes devient un élément clé qui guide les dirigeants dans la prise de décisions commerciales. Les renseignements cybernétiques recueillis sont également appliqués aux différentes fonctions de l’entreprise.

Et lorsque vient la saison des audits, la cyberintelligence doit être un élément déterminant de l’approche corrective de l’entreprise, afin de garantir que les risques internes et externes sont atténués à tous les niveaux. La gestion de la conformité doit être menée sur la base de renseignements provenant du paysage des menaces externes, et les exigences et paramètres de conformité doivent être adaptés en fonction de l’évolution du paysage.

L’organisation apprécie l’importance de la confidentialité et veille à ce que les données des employés, des clients et des fournisseurs soient dûment anonymisées, aseptisées et cryptées. Les processus de sécurité sont mis à jour et ajustés en fonction de l’évolution du paysage des menaces. C’est la stratégie de cybersécurité agile à l’œuvre.

Avec un état d’esprit axé sur le renseignement, l’organisation adopte également une approche de « culture du piratage » dans laquelle le personnel de cybersécurité travaille en partant du principe que vous avez déjà été piraté. En tant que dirigeant efficace, vous concevez vos contrôles, vos processus et votre stratégie de cybersécurité sur la base de ce postulat, en vous appuyant sur les renseignements, la motivation des adversaires et la probabilité d’une attaque comme points de repère.

Un état d’esprit fondé sur le renseignement pour guider la cybersécurité est clairement une meilleure approche que d’attendre que des événements indésirables se produisent avant d’agir. Cette évolution exige des dirigeants qu’ils considèrent la cybersécurité non seulement comme une fonction relevant de l’informatique, mais aussi comme un moteur essentiel de la croissance et de l’innovation.

En résumé sur les contrôles de sécurité

Les contrôles de sécurité sont composés de personnes, de processus et de technologies, et sans tests réguliers contre des menaces réelles, il n’y a aucun moyen de s’assurer qu’ils fonctionneront comme prévu le moment venu. Les anciennes pratiques de test manuel sont sporadiques et n’offrent pas une couverture suffisante pour garantir leur efficacité. Une solide plateforme de simulation de violation et d’attaque émule l’adversaire et génère des données en temps réel pour aider à identifier les défaillances de contrôle, à résoudre les faiblesses structurelles et à prendre des décisions d’investissement intelligentes.

Les programmes de cybersécurité non testés constituent un risque pour votre entreprise s’ils ne parviennent pas à stopper les ransomwares ou autres cyberattaques. Même avec les technologies de cyberdéfense les plus avancées, les contrôles peuvent échouer en raison d’une mauvaise configuration de la technologie, de la performance de l’équipe ou de lacunes dans les capacités.

Historiquement, la BAS était largement axée sur l’exécution d’attaques et le renforcement de l’équipe rouge et, au fur et à mesure de son évolution, sur la validation des contrôles de sécurité. Aujourd’hui, l’objectif est de maximiser l’efficacité du programme de cybersécurité dans son ensemble.

En fin de compte, une équipe de sécurité armée d’une plateforme BAS qui contribue à optimiser l’ensemble de son programme de sécurité améliorera son efficacité et son efficience globales. Vous pouvez émuler l’adversaire avec réalisme pour tester votre programme de sécurité, en générant des données de performance en temps réel qui vous permettent d’améliorer votre posture de sécurité et d’avoir la certitude que vos investissements fonctionnent comme prévu pour protéger votre organisation.

par Hani Bani Amer, Directeur technique pour iMeta chez AttackIQ

La cybersécurité est un secteur exigeant et complexe. Il y a une pénurie de main-d’œuvre qualifiée, des contrôles de sécurité qui échouent, de nouvelles attaques adverses, un manque de collaboration entre les entités et les praticiens de la sécurité, des lois et une gouvernance immatures. La liste est longue. Les conséquences d’une violation peuvent être catastrophiques et coûteuses pour les organisations de toute taille et de tout type – des entreprises de taille moyenne et des hôpitaux aux grandes agences gouvernementales.

Selon l’Identity Theft Resource Center, le nombre de violations pour 2021 a dépassé celui de 2020 en octobre. Des recherches menées par le Ponemon Institute et IBM ont également révélé que le coût d’une violation a augmenté de 10 % pour atteindre 4,24 millions de dollars.

Des difficultés à mesurer l’efficacité des mesures de cybersécurité

Les équipes de cybersécurité ont investi dans une pléthore de solutions de sécurité, créant des intégrations entre les contrôles de sécurité afin d’atteindre la résilience contre les cyberattaques. Pourtant, malgré la mise en place d’un ensemble complet de contrôles, les équipes de cybersécurité ont toujours du mal à savoir si leurs systèmes fonctionnent correctement.

La simulation de brèche et d’attaque (BAS) est un moyen transformateur pour les équipes de cybersécurité de mesurer en permanence l’efficacité et les niveaux de préparation de leurs contrôles de cybersécurité. Elle permet de vérifier si les personnes, les processus et les technologies en place répondent correctement aux cybermenaces et les arrêtent en émulant des attaques comme le feraient de mauvais acteurs dans des scénarios réels.

Gartner définit les technologies de simulation de brèches et d’attaques (BAS) comme des solutions « qui permettent aux entreprises de simuler de manière continue et cohérente le cycle complet d’une attaque (y compris les menaces internes, les mouvements latéraux et l’exfiltration de données) contre l’infrastructure de l’entreprise, en utilisant des agents logiciels, des machines virtuelles et d’autres moyens ».

Alors que les risques de cybersécurité ne cessent d’augmenter, que les budgets restent incertains et que les impacts socio-économiques de la pandémie COVID-19 perdurent, la BAS n’est plus considérée exclusivement comme un outil de simulation de brèches et d’attaques ou de validation des contrôles de sécurité – mais comme un moyen d’apporter une valeur commerciale en optimisant les ressources et en diminuant les charges de gestion des équipes.

Les organisations tirent parti d’une nouvelle génération de plates-formes innovantes construites sur la technologie BAS pour maximiser l’efficacité et l’efficience de leur programme de cybersécurité dans son ensemble grâce à l’optimisation de la sécurité, de l’efficacité technique à la conformité réglementaire.

Les plates-formes BAS sont conçues pour répondre aux problèmes du secteur de la cybersécurité, tels que le manque de visibilité en matière de sécurité, le manque de capacités de test des contrôles de sécurité en production, le manque de professionnels qualifiés en matière de cybersécurité, le manque de retour d’information en boucle fermée pour mesurer l’efficacité des contrôles de cybersécurité, le manque de visibilité en matière de cybersécurité du point de vue opérationnel et procédural.

Lors du sommet Gartner de cette année sur la sécurité et la gestion des risques, le vice-président de la recherche Gartner, Peter Firstbrook, a évoqué huit tendances essentielles pour les responsables de la sécurité et de la gestion des risques dans son discours liminaire, et l’une d’entre elles était la BAS, expliquant comment les solutions BAS fournissent des évaluations continues de la posture défensive, et remettent en question la visibilité limitée des évaluations ponctuelles annuelles comme les tests de pénétration. Lorsque les RSSI intègrent les BAS dans leurs évaluations régulières de la sécurité, les équipes peuvent identifier plus efficacement les lacunes de la posture de sécurité et mieux prioriser les initiatives de sécurité.

Voici cinq capacités clés à rechercher lors de l’évaluation des plateformes de BAS pour votre organisation :

• Test continu : Une plateforme BAS efficace aura un état d’esprit  » assumez la violation  » car elle fournit le meilleur mécanisme pour déterminer l’état de préparation de l’infrastructure de sécurité à chaque étape de la chaîne de mise à mort. En testant continuellement les contrôles de sécurité, les praticiens peuvent découpler les mesures de performance de leur programme de sécurité d’un instantané ponctuel qui ne montre que l’exposition à une vulnérabilité spécifique ou l’efficacité contre un exploit spécifique.
• Personnalisation : Les utilisateurs doivent être en mesure d’effectuer une personnalisation poussée des scénarios fournis et de créer les leurs à partir de zéro. Recherchez une plateforme qui offre une bibliothèque solide de scénarios et de modèles d’évaluation.
• Test en production : De nombreuses offres de BAS sont testées dans des bacs à sable. Cherchez-en une qui effectue des tests en production sur l’ensemble de la chaîne d’élimination, de la même manière que les adversaires du monde réel. Grâce à cette capacité, les équipes de sécurité peuvent alors élaborer un programme stratégique qui offre une efficacité et une efficience accrues.
• Capacités de reporting : Alors que le conseil d’administration et la direction sont appelés à mieux comprendre la stratégie de cybersécurité de leur organisation, les équipes de sécurité veulent être en mesure de signaler en toute confiance à leurs PDG et aux membres du conseil d’administration que les contrôles fonctionnent comme prévu pour défendre l’organisation contre les attaques de ransomware et les adversaires. Recherchez une plateforme qui fournit des tableaux de bord de reporting faciles à comprendre, afin que les RSSI et les responsables des risques disposent d’informations exploitables pour prendre des décisions judicieuses concernant leurs opérations de sécurité, leur conformité et leurs investissements en gestion des risques.
• Capacité à exploiter le cadre ATT&CK de MITRE : Le cadre MITRE ATT&CK est un cadre ouvert, gratuit et disponible à l’échelle mondiale, qui regroupe les tactiques, techniques et procédures (TTP) connues des adversaires. Construit et publié en 2015 par la MITRE Corporation, une organisation de recherche et de développement à but non lucratif financée par le gouvernement fédéral, le cadre ATT&CK a gagné un élan significatif dans les secteurs public et privé en tant que référentiel mondial et toutes sources du comportement des adversaires. ATT&CK a donné aux organisations un cadre stable à partir duquel elles peuvent concevoir leurs défenses. Utilisé avec une plateforme BAS, vous pouvez automatiser les émulations d’adversaires pour tester vos cyberdéfenses.

Avantages de la validation automatisée des contrôles

Le paysage de la sécurité étant devenu de plus en plus volatile, la BAS offre aux équipes de cybersécurité une nouvelle façon de réagir. Bien que les cas d’utilisation et les avantages de la BAS soient nombreux, voici ceux que la plupart des organisations obtiennent immédiatement après le déploiement de cette solution :

• Trouver et combler les lacunes de contrôle de sécurité de manière proactive. Bénéficiez d’une analyse approfondie et continue des brèches et des simulations d’attaques pour trouver et combler les lacunes avant que les adversaires ne les exploitent. Partagez les informations entre les équipes chargées de la sécurité, des risques et de la conformité, et améliorez la posture de sécurité globale de l’organisation.
• Améliorer continuellement vos performances grâce à des preuves. Les émulations d’adversaires vous aident à améliorer les capacités de défense qui vous importent le plus, qu’il s’agisse de la détection et de la réponse aux points de terminaison, des pare-feu de nouvelle génération, des capacités de segmentation de la sécurité ou des contrôles de sécurité internes natifs des fournisseurs de cloud.
• Améliorer l’efficacité de vos équipes. Renforcer vos analystes qualifiés grâce à la technologie de simulation de brèches et d’attaques. Vos ressources limitées peuvent utiliser l’automatisation et les rapports pour trouver et combler les lacunes de manière proactive au lieu de lutter contre les incendies après qu’une brèche se soit produite.
• Réduire les coûts ou réaffecter le budget. Exploitez les tactiques et techniques de MITRE ATT&CK pour mesurer l’efficacité des contrôles de sécurité existants. En comprenant quels investissements fonctionnent et lesquels ne fonctionnent pas, vous pouvez réduire les coûts ou réaffecter le budget par la rationalisation et la consolidation des contrôles.

En résumé sur les contrôles de sécurité

Les contrôles de sécurité sont composés de personnes, de processus et de technologies, et sans tests réguliers contre des menaces réelles, il n’y a aucun moyen de s’assurer qu’ils fonctionneront comme prévu le moment venu. Les anciennes pratiques de test manuel sont sporadiques et n’offrent pas une couverture suffisante pour garantir leur efficacité. Une solide plateforme de simulation de violation et d’attaque émule l’adversaire et génère des données en temps réel pour aider à identifier les défaillances de contrôle, à résoudre les faiblesses structurelles et à prendre des décisions d’investissement intelligentes.

Les programmes de cybersécurité non testés constituent un risque pour votre entreprise s’ils ne parviennent pas à stopper les ransomwares ou autres cyberattaques. Même avec les technologies de cyberdéfense les plus avancées, les contrôles peuvent échouer en raison d’une mauvaise configuration de la technologie, de la performance de l’équipe ou de lacunes dans les capacités.

Historiquement, la BAS était largement axée sur l’exécution d’attaques et le renforcement de l’équipe rouge et, au fur et à mesure de son évolution, sur la validation des contrôles de sécurité. Aujourd’hui, l’objectif est de maximiser l’efficacité du programme de cybersécurité dans son ensemble.

En fin de compte, une équipe de sécurité armée d’une plateforme BAS qui contribue à optimiser l’ensemble de son programme de sécurité améliorera son efficacité et son efficience globales. Vous pouvez émuler l’adversaire avec réalisme pour tester votre programme de sécurité, en générant des données de performance en temps réel qui vous permettent d’améliorer votre posture de sécurité et d’avoir la certitude que vos investissements fonctionnent comme prévu pour protéger votre organisation.

par Jose Monteagudo, Rédacteur en chef 1er Observatoire mondial de la cybersécurité

Un processus continu qui implique l’identification, l’évaluation et la réponse aux risques

Mais le plus délicat est que pour gérer efficacement les risques, une institution financière doit d’abord comprendre la probabilité qu’un événement se produise, puis l’impact potentiel. Le paysage des menaces étant en constante évolution, ce processus d’évaluation devient très complexe, long, sujet à des erreurs et nécessite un nombre croissant de ressources rares et coûteuses pour l’organisation. Avec ces informations, l’organisation peut avoir un débat interne sur le niveau de risque acceptable, c’est-à-dire sur sa tolérance au risque.

Une fois que l’organisation a compris la tolérance au risque, elle peut prendre des décisions en connaissance de cause pour hiérarchiser les activités, les programmes et les dépenses en matière de cybersécurité. En ce qui concerne les différentes approches de la gestion du risque, il y a quatre façons de procéder : atténuer le risque, le transférer, l’éviter ou l’accepter.

Principaux cyberrisques pour les institutions financières

Les cyberattaques augmentent en fréquence et en complexité, les institutions financières étant la principale cible des cybercriminels, compte tenu de la valeur des données qu’elles détiennent et de la simplicité avec laquelle elles peuvent les monnayer.

Comme tout le monde le reconnaît maintenant, la question n’est plus de savoir si une organisation sera victime d’une violation, mais quand. Mais quels sont les principaux risques de cybersécurité pour les institutions financières ?

Il est difficile de répondre à cette question, car l’année dernière a vu des changements sans précédent dans le paysage des cyber-risques, mais pour n’en citer que quelques-uns :

• L’exfiltration de données à l’aide de vulnérabilités « zero days ».
• Vol financier, vol de fonds provenant de transactions
• Attaques par déni de service distribué (DDoS) multi-vecteurs visant les sites web d’entreprises et les services bancaires en ligne pour compromettre le commerce électronique. Il s’agit d’une menace sérieuse pour la transformation numérique stratégique en cours.
• Cyber extorsion, en particulier les ransomwares, allant du chiffrement des ordinateurs personnels aux serveurs d’entreprise.
• Défaillance de fournisseurs de solutions tiers

Piliers de la gestion des cyber-risques

Bien qu’il y ait eu des problèmes importants au cours des dernières années, le secteur des services financiers est probablement l’une des industries qui gère le mieux la cybersécurité. Les principaux piliers d’une gestion efficace et efficiente des risques liés à la cybersécurité sont les suivants :

• Renforcer la gestion du risque cybernétique en mettant en œuvre trois lignes de défense, notamment l’identification et l’évaluation des risques, la gestion des risques et la surveillance des risques.
• Conformité avec les réglementations existantes, y compris les nouvelles exigences en matière de confidentialité comme le GDPR.
• Améliorer l’exécution de la cybersécurité par le développement des talents, des programmes de cyber sensibilisation et des protocoles cyber cohérents.
• Prendre en compte le risque dans l’écosystème financier, y compris les tiers.
• Surveillez l’évolution constante du paysage des menaces.
• Envisager le partage d’informations. Le Centre d’information et de partage des services financiers (FS-ISAC) est un forum industriel créé spécifiquement pour l’industrie des services financiers afin de partager des informations sur la cybersécurité dans leur secteur.
• Intégrer la gestion du risque cybernétique dans l’innovation.

La cyberassurance

En raison de toutes les nouvelles dynamiques dans le paysage du cyber risque, le secteur de la cyber assurance évolue et se développe.

Les entreprises de tous les secteurs commencent à reconnaître l’importance de la cyberassurance dans le paysage numérique actuel, de plus en plus complexe et à haut risque, et cela est particulièrement vrai dans le secteur des services financiers, actuellement engagé dans un parcours de transformation numérique d’une importance cruciale.

Certains rapports prévoient que le marché mondial devrait dépasser les 3 milliards de dollars en 2018 avec une forte croissance jusqu’en 2027.

L’Amérique du Nord a été la plus grande part du marché de la cyberassurance dans le passé, mais les nouvelles réglementations entrant en vigueur dans l’Union européenne, comme le GDPR, pourraient accélérer la croissance du marché dans cette région.

par  Antonio Varriale, Group CTO et Giorgia Somma, Business Development Manager chez Blu5

La sécurité absolue est absolument impossible

Après tout, il suffit d’un clic pour compromettre un réseau entier. Dans les années à venir, il faudra que les utilisateurs fassent preuve d’une diligence constante et que les principales parties prenantes investissent pour favoriser un environnement véritablement sécurisé.

L’époque où l’on cochait une case pour des raisons de conformité est révolue. Ou de supposer que les notes de risque moyennes du secteur sont suffisantes. C’est exactement le type d’état d’esprit que les cybercriminels recherchent pour choisir leur prochaine cible.

Les acteurs de la menace ciblent de nouveaux secteurs d’activité et utilisent des tactiques de pression plus fortes pour aggraver les conséquences de l’infection et rendre les méthodes de détection fiables trop lentes. Les options de réponse deviennent plus compliquées.

Les attaques se multiplient et sont plus sophistiquées. Les pirates professionnels recrutés pour des opérations spécifiques sont une réalité ; ils ont un accès rapide aux vulnérabilités de type « zero-day » et sont prêts à compromettre une chaîne d’approvisionnement pour atteindre leur véritable cible.

Selon le rapport de Gartner sur les principales tendances en matière de sécurité et de risque pour 2021, les changements stratégiques en cours dans l’écosystème de la sécurité devraient avoir un large impact sur l’industrie et un potentiel de perturbation important.

Gagner du terrain sur les cyberattaquants

Gérer la sécurité et se tenir au courant des dernières tendances en matière d’attaques est coûteux et loin d’être infaillible. De nombreuses attaques passent inaperçues pendant des mois, les menaces évoluent constamment et les motivations ont changé, passant du statut de passe-temps à celui d’activité lucrative. Malgré une sensibilisation accrue et un passage général de mesures de sécurité réactives à des mesures proactives, les équipes de sécurité sont toujours en retard en matière de protection, tandis que les cybercriminels ont rapidement adapté leurs tactiques à l’évolution de la surface d’attaque.

Pendant trop longtemps, les organisations se sont concentrées sur la mise en place de couches de protection pour les réseaux, les systèmes et les données, avec l’illusion qu’une telle stratégie empêcherait les méchants d’entrer. La réalité est qu’aujourd’hui, les responsables de la sécurité disposent de trop d’outils. « Dans l’enquête 2020 sur l’efficacité des RSSI, Gartner a constaté que 78 % des RSSI ont 16 outils ou plus dans leur portefeuille de fournisseurs de cybersécurité ; 12 % en ont 46 ou plus et les cyberattaques continuent d’augmenter.

L’ouverture de votre paysage de sécurité à plusieurs fournisseurs signifie que vous aurez un nombre accru de vulnérabilités et d’expositions communes à prendre en compte. Cela peut être coûteux et prendre du temps. L’audit de conformité implique la collecte d’un grand nombre de documents, le passage d’une plateforme à l’autre et, d’une manière générale, l’utilisation d’une part beaucoup plus importante de vos ressources internes.

Selon le rapport de Gartner, 80 % des entreprises pensent que la consolidation des fournisseurs est la bonne voie pour réduire les coûts et améliorer la sécurité.

Tout bien considéré, les organisations et leurs utilisateurs ne seront jamais totalement à l’abri du cyber-risque. Tenter de l’éliminer totalement, avec une approche de sécurité en couches, serait non seulement impossible, mais entraverait également l’agilité, car un environnement présentant un niveau de risque acceptable favorise l’innovation.

En fait, un véritable changement du paradigme de la sécurité est nécessaire : passer d’une posture de cybersécurité à une posture de cyberrésilience. En bref, plutôt que de consacrer de plus en plus de temps et de ressources à empêcher les méchants d’entrer dans une bataille inégale et perdue d’avance, il faut simplifier l’infrastructure de sécurité pour qu’elle soit vraiment nécessaire et s’efforcer de devenir cyber-résiliente.

La cyber résilience implique d’accepter le fait qu’aucune solution de cybersécurité n’est parfaite ou capable de protéger contre toutes les formes possibles de cybermenaces. Pour atteindre la cyber-résilience, les organisations doivent abandonner les infrastructures de sécurité fragmentées au profit d’une infrastructure optimisée en fonction des besoins opérationnels et capable de donner aux équipes informatiques les moyens de maintenir les opérations en permanence malgré les difficultés.

Qu’est-ce que la cyber-résilience ?

Le concept de résilience est utilisé depuis des décennies dans plusieurs disciplines, comme la médecine, la physique, les sciences sociales et la science des matériaux, pour mesurer la capacité à se remettre rapidement d’événements traumatisants.

Le même concept a été récemment introduit dans le monde numérique sous le nom de « cyber-résilience ». Bien que sa définition soit largement acceptée comme une mesure de la capacité d’une entreprise à gérer les cyberattaques ou les violations de données, tout en continuant à exercer ses activités de manière efficace, la manière dont la cyber-résilience devrait fonctionner dans une infrastructure réelle reste assez floue et subjective.

Comme cela se produit généralement dans les opérations de marketing et de vente, lorsqu’un nouveau concept devient viral et commence à créer de nouvelles opportunités et tendances sur le marché, les fournisseurs commencent rapidement à remodeler leur offre pour répondre aux attentes des nouveaux clients.

En ce qui concerne le concept de cyber-résilience, nous constatons que presque tout le monde est d’accord avec sa définition. Cependant, l’application pratique de la recette numérique ressemble beaucoup plus à une réutilisation débridée des solutions traditionnelles, parfois accompagnée de nouvelles fonctionnalités d’amélioration coûteuses, qu’à un véritable changement de paradigme visant à simplifier l’infrastructure de sécurité et à déployer des avantages réels.

Le résultat final est une course aux armements très coûteuse, qui n’offre pas vraiment aux entreprises la possibilité de poursuivre leurs activités même en cas d’attaque. Au contraire, dans la plupart des cas, cette approche ne fait que générer des coûts supplémentaires et compromet la capacité d’adaptation et de récupération des entreprises.

Selon la plupart des acteurs de la cybersécurité, la cyber-résilience comprend quatre composantes principales : la protection, la capacité de récupération, l’adaptabilité et la durabilité.

Cette représentation peut sembler être une extension efficace des stratégies traditionnelles de cybersécurité (prévention, détection, réaction, …). Cependant, elle est basée sur un simple enrichissement quantitatif des opérations standard et des meilleures pratiques pour faire face à l’adaptation continue à un paysage de sécurité changeant.

Le fait est que, tôt ou tard, même les organisations les plus structurées pourraient être vaincues dans ce jeu de pouvoir et que les menaces finiraient par se transformer en attaques réussies.

Qu’arrive-t-il à votre entreprise lorsque vos mesures de cybersécurité échouent ?

Du point de vue du client, une stratégie de cyberrésilience devrait fonctionner même lorsque les mesures de cybersécurité sont contournées et que votre infrastructure est compromise.

Dans cette hypothèse, une représentation plus précise de la cyber-résilience peut être conçue. Les clients méritent bien plus qu’une extension discutable des stratégies traditionnelles de cybersécurité. La cyber-résilience doit fournir un moyen parallèle d’aller de l’avant lorsque la ligne de défense traditionnelle ne fonctionne pas.

Prenons l’exemple d’un scénario de pandémie, en remplaçant les stratégies traditionnelles de cybersécurité par des procédures de sécurité visant à prévenir, détecter et réagir.

Dans ce contexte, la prévention est un ensemble de procédures visant à minimiser le risque d’infection, comme la distanciation sociale, l’utilisation de masques et d’autres protections physiques, le lavage obsessionnel des mains, le nettoyage des objets, etc.

La détection est la capacité de déterminer si des objets ou des individus ont été ou sont actuellement contaminés par des organismes infectieux. La réaction est la capacité à prendre une action immédiate une fois l’infection détectée, telle que l’hospitalisation des personnes, …

Selon la première représentation, basée sur la perspective du fournisseur, la cyber-résilience devrait simplement améliorer et étendre les procédures ci-dessus afin, par exemple, d’améliorer le processus lorsqu’une deuxième vague d’infection apparaît (adaptabilité) ou de mettre régulièrement à jour les procédures avec de nouvelles restrictions et règles (durabilité), …

Cependant, si les processus ci-dessus échouent et qu’une personne est infectée, il n’y a aucune garantie de guérison effective et, dans certains cas, l’issue peut être fatale.

D’autre part, dans la deuxième représentation basée sur la perspective du client, une stratégie de cyber-résilience suppose que toutes les procédures ci-dessus peuvent tôt ou tard échouer (modèle de violation supposée), de sorte que toute personne ainsi que tout objet est potentiellement un vecteur d’infection (confiance zéro).

Dans ces hypothèses, un changement de règles est nécessaire (changement de paradigme). Par exemple, une stratégie de vaccination garantit que les gens continuent à vivre leur vie normale (c’est-à-dire à faire fonctionner leur entreprise efficacement) même lorsque les procédures traditionnelles de prévention, de détection et de réaction (c’est-à-dire la cybersécurité traditionnelle) échouent, offrant ainsi une ligne de conduite parallèle.

Il est clair que la cyber-résilience n’est pas seulement une extension ou une amélioration des processus, techniques et solutions de sécurité traditionnels. Un véritable changement de paradigme est nécessaire pour jouer le jeu cybernétique d’une manière nouvelle et perturbatrice.

Une approche de logique inverse pour tenir les ransomwares à distance

Les solutions Blu5 aident les organisations à devenir cyber-résilientes et à maintenir la continuité des opérations en adoptant une approche de logique inverse axée sur les principes suivants :

• Réduire la complexité de l’infrastructure sécurisée en éliminant les technologies obsolètes ; se concentrer sur l’atténuation des problèmes de sécurité plutôt que d’en éradiquer les causes.
• Construire des chemins d’accès uniquement après avoir appliqué des contrôles réussis, en abolissant le concept de routes prédéfinies exposées au WAN
• Les services sont virtuellement exécutés sur le point d’extrémité pour être utilisés plutôt que de donner accès à l’ensemble du réseau de l’entreprise
• Appliquer le contrôle d’accès à la source : autoriser les bons au lieu de détecter les mauvais.

Blu5 introduit un changement de mentalité qui bouleverse les fondements de l’infrastructure de sécurité.

par Andrea Carcano, Co-fondateur de Nozomi Networks

Que nous en soyons conscients ou non, les bâtiments et les installations deviennent chaque jour plus « intelligents ». Grâce à cette connectivité accrue, ils deviennent technologiquement plus efficaces et permettent aux travailleurs qui s’y trouvent d’être plus productifs. Le coût, cependant, est une augmentation de la consommation d’électricité. Aux États-Unis, par exemple, plus de 70 % de l’électricité produite est consommée par les bâtiments commerciaux, ce qui représente près de 40 % des émissions de gaz à effet de serre.

gestion du risque cybernétique

Par conséquent, la digitalisation des systèmes d’automatisation des bâtiments, tels que les systèmes de chauffage, de ventilation et de climatisation, les systèmes de gestion de l’énergie, les systèmes de contrôle de l’éclairage, les systèmes de vidéosurveillance, les contrôles d’accès, les contrôles d’ascenseurs, ainsi que les capteurs, les caméras et les dispositifs associés, peut contribuer à réduire la consommation d’énergie, à améliorer le confort des occupants, à maintenir un coût total de possession faible, à exploiter efficacement les systèmes des bâtiments et à augmenter le cycle de vie des services publics.

Cependant, ces avantages opérationnels l’emportent probablement sur les éventuels problèmes de cybersécurité que la connectivité apporte dans le processus décisionnel. En fait, ceux qui gèrent la plupart des bâtiments intelligents d’aujourd’hui sont confrontés à la diminution des ressources, à la rareté des talents en cybersécurité et aux problèmes qui surviennent lorsque l’informatique converge avec l’OT.
La transformation numérique du secteur de l’automatisation des bâtiments implique également l’abandon des anciens systèmes propriétaires et l’adoption d’architectures informatiques de type edge-to-cloud. En conséquence, le déploiement de capteurs à moindre coût, avec ou sans fil, pour recueillir le plus de données possible, est devenu la nouvelle norme. Pourtant, dans le même temps, le secteur repose sur une infrastructure considérable de systèmes, d’applications, de dispositifs et de réseaux d’automatisation des bâtiments hérités, qu’il faut gérer, entretenir et moderniser progressivement.
Selon Larry O’Brien d’ARC Advisory Group, la gestion du risque cybernétique pour les bâtiments intelligents, comme pour les secteurs ICS traditionnels tels que l’industrie manufacturière et les services publics d’électricité, entraîne des défis spécifiques.

Convergence IT/OT –

De nombreux utilisateurs finaux et propriétaires-exploitants du secteur de l’automatisation des bâtiments considèrent encore la cybersécurité IT et OT comme des défis distincts. Cependant, les attaquants exploitent déjà les failles entre les défenses informatiques et les défenses OT. Par exemple, le spam phishing est couramment utilisé pour obtenir des privilèges et entrer dans les systèmes OT. Les pirates utilisent les systèmes CVC et d’autres systèmes OT mal défendus comme points d’entrée dans les centres de données et les réseaux informatiques des entreprises.

Les systèmes OT intègrent davantage de technologies de l’information –

L’essor de l’Internet des objets, de l’industrie 4.0 et d’autres initiatives technologiques d’envergure entraîne une énorme vague d’adoption des technologies de l’information à tous les niveaux de l’architecture des systèmes du bâtiment. Les dispositifs informatiques de pointe remplacent déjà les contrôleurs propriétaires dans une variété d’applications. L’ARC prévoit l’adoption d’une gamme plus large de capteurs moins chers, plus intelligents et plus omniprésents.
Outre les fonctions exécutées par les systèmes et leurs exigences uniques en matière de détection, il sera de plus en plus difficile de distinguer les systèmes d’automatisation des bâtiments des systèmes d’entreprise d’un point de vue informatique.

La montée des cyberattaques au niveau des OT –

Les cyberattaques contre les bâtiments intelligents, ainsi que les attaques connexes contre les villes et les infrastructures intelligentes, peuvent avoir des répercussions de grande ampleur et poser des risques pour la sécurité humaine. Une attaque dans un grand bâtiment ou une structure publique (en particulier dans une zone densément peuplée), pourrait potentiellement provoquer le chaos.
Les actifs cyber-physiques dans les bâtiments, les villes et les infrastructures intelligents sont de plus en plus distribués, notamment si l’on considère la nouvelle tendance à surveiller des parcs entiers de bâtiments à partir d’un emplacement centralisé.
Sur un campus ou dans un complexe médical, ces systèmes couvrent plusieurs pâtés de maisons et peuvent être essentiels au fonctionnement global d’une ville ou d’une communauté.

Surface d’attaque élargie –

Les bâtiments intelligents d’aujourd’hui comportent de nombreux systèmes et interconnexions. Cela élargit le champ d’action d’une attaque. Dans le cas du piratage de la chaîne de magasins Target, le système de chauffage, de ventilation et de climatisation a été utilisé pour accéder aux systèmes financiers et dérober les informations relatives aux cartes de crédit de plus de 40 millions de personnes.

Protocoles non sécurisés –

L’exploitation de protocoles industriels non sécurisés est un autre moyen pour les attaquants de perturber les opérations. C’est particulièrement vrai pour les systèmes d’automatisation des bâtiments. Les protocoles populaires tels que BACnet et LonWorks ne sont pas intrinsèquement sûrs et, comme les protocoles utilisés dans le secteur manufacturier, ils présentent leurs propres vulnérabilités. Les attaquants sophistiqués sont conscients de ces lacunes et ont facilement accès à la documentation nécessaire pour élaborer des commandes destinées à perturber le fonctionnement des contrôleurs et autres dispositifs.

Protocoles non sécurisés –

L’exploitation de protocoles industriels non sécurisés est un autre moyen pour les attaquants de perturber les opérations. C’est particulièrement vrai pour les systèmes d’automatisation des bâtiments. Les protocoles populaires tels que BACnet et LonWorks ne sont pas intrinsèquement sûrs et, comme les protocoles utilisés dans le secteur manufacturier, ils présentent leurs propres vulnérabilités. Les attaquants sophistiqués sont conscients de ces lacunes et ont facilement accès à la documentation nécessaire pour élaborer des commandes destinées à perturber le fonctionnement des contrôleurs et autres dispositifs.

Maîtriser le risque cybernétique

Une bonne cybersécurité commence par les personnes, les processus et la technologie. Les propriétaires-exploitants de bâtiments doivent être conscients que la cybersécurité est un risque qu’ils ne peuvent pas se permettre d’ignorer. Ils doivent donc recruter des personnes capables de gérer les problèmes de cybersécurité et suivre un processus lors de l’introduction de nouvelles technologies connectées.
Du point de vue des technologies de sécurité, la visibilité est un élément clé de toute stratégie de cybersécurité, en particulier lorsqu’il s’agit d’automatisation des bâtiments et d’ajout de connectivité à tout environnement. Après tout, comme le dit le vieil adage, « vous ne pouvez pas protéger ce que vous ne pouvez pas voir ». Et il ne s’agit pas seulement de la visibilité de la surveillance physique, mais de tous les  » ins  » potentiels qu’un attaquant peut utiliser pour prendre pied dans un bâtiment et ses systèmes : points de connexion, appareils compatibles Wi-Fi ou Bluetooth, courriels, ports laissés accidentellement ouverts, et la liste est longue. C’est une preuve supplémentaire de la convergence de l’informatique et de l’OT, qui sont encore considérés comme des entités distinctes. Dans le cadre du processus de visibilité, cet état d’esprit doit changer, car les bâtiments de plus en plus connectés d’aujourd’hui, et de demain, vont brouiller les lignes entre les deux.

Les réseaux enchevêtrés de la connectivité ne nécessitent qu’un seul chemin d’attaque exposé pour que les attaquants puissent se frayer un chemin à travers tout un système. Les propriétaires-exploitants doivent donc rechercher des solutions qui intègrent l’IT, l’OT et l’IoT afin de disposer de la vue la plus complète possible de l’environnement de leurs systèmes d’automatisation des bâtiments, avec une gestion centralisée et la possibilité de surveiller en permanence les vulnérabilités, les menaces et les anomalies qui pourraient indiquer des cyberattaques dans l’environnement d’automatisation des bâtiments.

Grâce à l’automatisation, les bâtiments peuvent être plus respectueux de l’environnement, plus efficaces et plus confortables. Mais ces installations connectées peuvent également devenir dangereuses entre les mains d’un attaquant déterminé. C’est pourquoi la cybersécurité doit être l’une des principales considérations de tout projet d’automatisation des bâtiments, afin de mettre de l’intelligence dans les bâtiments intelligents.

Andrea Carcano est un expert et un leader international en matière de sécurité des réseaux industriels, d’intelligence artificielle et d’apprentissage automatique. Il a cofondé Nozomi Networks en 2013 avec l’objectif de fournir une solution de cybersécurité et de visibilité opérationnelle de nouvelle génération pour les réseaux de contrôle industriels.

Nozomi Networks accélère la transformation numérique en protégeant les infrastructures critiques, les organisations industrielles et gouvernementales du monde entier contre les cybermenaces. Notre solution offre une visibilité exceptionnelle des réseaux et des actifs, une détection des menaces et des perspectives pour les environnements OT et IoT. Les clients nous font confiance pour minimiser les risques et la complexité tout en maximisant la résilience opérationnelle.

En tant que Chief Product Officer, Andrea définit la vision des produits de Nozomi Networks et il est la voix du client au sein de l’organisation. Dans ce rôle, il s’appuie sur son expérience du monde réel en tant qu’ingénieur principal en sécurité chez Eni, une multinationale du pétrole et du gaz, ainsi que sur ses recherches universitaires.

Passionné par la cybersécurité depuis le lycée, Andrea a étudié les défis uniques que représente la sécurisation des systèmes de contrôle industriels. Son doctorat en informatique de l’Università degli Studi dell’Insubria portait sur le développement de logiciels permettant de détecter les intrusions dans les systèmes de contrôle des infrastructures critiques. Sa maîtrise en informatique, obtenue auprès de la même institution, portait sur la création d’un logiciel malveillant conçu pour tirer parti du manque de sécurité de certains protocoles SCADA et sur l’analyse des conséquences.

La confiance zéro (ZeroTrust) est l’un des mots à la mode dans le cybermonde.

Concept de sécurité basé sur le principe « ne jamais faire confiance, toujours vérifier », la confiance zéro élimine la composante de confiance qui était autrefois automatiquement accordée aux utilisateurs et aux appareils de l’entreprise.

Au lieu de cela, avec le modèle ZT, une politique dynamique et des protocoles de sécurité limitent l’accès aux ressources pour éliminer les menaces – externes et internes. Mais, pour déterminer qui peut accéder à quoi, l’identité d’un actif demandeur doit être authentifiée et autorisée – cela s’applique aux utilisateurs, aux charges de travail et aux appareils.

Entrée exclusive

Chaque demande d’accès est évaluée et déterminée par une politique dynamique qui s’appuie sur diverses sources de données pour fournir des informations en temps réel. À partir de là, l’architecture de confiance zéro (ZTA) prend les décisions d’accès et accorde un accès restreint sur la base du principe du moindre privilège – en autorisant l’accès uniquement aux ressources nécessaires pour effectuer le travail.

La micro-segmentation met en œuvre des restrictions supplémentaires en divisant le réseau en sections plus petites et plus granulaires, ce qui empêche les mouvements latéraux du réseau. Tous ces déplacements que les attaquants aiment faire ? Avec la micro-segmentation, ce n’est plus possible. Cela ressemble à un modèle de sécurité parfait, non ? Pas exactement…

Il y a toujours une porte de secours

Que se passe-t-il si les informations en temps réel sont inexactes ? Eh bien, naturellement, les décisions d’accès le seront aussi. Mais il ne s’agit pas d’un scénario hypothétique ; les informations sur les dispositifs sont souvent incomplètes, et il s’agit d’un angle mort réel, très sérieux, qui permet aux attaquants d’accéder à une porte dérobée. Les outils logiciels de sécurité qui fournissent à la ZTA des informations sur les appareils ne couvrent pas la couche physique, ce qui entraîne un manque de visibilité complète des actifs.

En d’autres termes, les « Rogue Devices » – des outils d’attaque matériels malveillants – ne sont pas détectés car ils opèrent sur la couche physique. Ainsi, un dispositif compromis peut contourner les protocoles de sécurité ZT et accéder au réseau en usurpant un dispositif légitime et fiable ou en dissimulant entièrement sa présence.

Non seulement les attaquants peuvent infiltrer secrètement une organisation, mais le contournement des protocoles de sécurité signifie qu’ils opèrent avec les privilèges les plus élevés, accèdent à toutes les ressources et se déplacent latéralement sur le réseau. Une infiltration aussi profonde est très inquiétante car les attaques matérielles ne sont pas une plaisanterie. Les dispositifs malveillants peuvent mener toute une série d’attaques, allant de la violation de données et de la reconnaissance aux attaques de type « man-in-the-middle » (MiTM) et à l’injection de ransomware.

Les conséquences de ces attaques se traduisent par des coûts financiers, des atteintes à la réputation et la perte de clients, entre autres. Les ransomwares, en particulier, sont si nuisibles qu’ils sont devenus une menace pour la sécurité nationale. Donc, tout ce dont une organisation a besoin, c’est d’une visibilité sur la couche physique ? Oui, mais cette visibilité n’est possible qu’avec la sécurité matérielle, un aspect de la cybersécurité qui reste cruellement négligé. Par conséquent, les organisations restent totalement exposées aux attaques matérielles sans même s’en rendre compte.

La sécurité matérielle devient de plus en plus importante car non seulement les attaques matérielles sont plus fréquentes, mais le nombre croissant de dispositifs utilisés offre aux attaquants davantage de points d’accès, ce qui élargit considérablement la surface d’attaque. Ainsi, si la technologie ZT est sans aucun doute un concept de sécurité précieux, un manque de sécurité matérielle signifie qu’une porte de secours bien trop large reste ouverte.

Confiance Zero

La réponse à ce problème est simple : La solution de contrôle d’accès matériel de Sepio System (HAC-1). La solution HAC-1 fournit une visibilité de la couche physique ; identifiant, détectant et traitant tous les périphériques, qu’il s’agisse d’un dispositif informatique, OT ou IoT géré ou non. Grâce à la technologie d’empreinte de la couche physique et au Machine Learning, HAC-1 calcule non seulement une empreinte numérique de tous les actifs matériels, mais détecte instantanément les appareils et commutateurs vulnérables présents dans l’organisation. La retransmission de ces informations à la ZTA permet de prendre des décisions d’accès précises, permettant ainsi une application plus complète du modèle de sécurité ZT.

De plus, le mécanisme d’application de la politique de HAC-1 signifie que le matériel non approuvé ou malveillant est bloqué instantanément – les périphériques usurpés ne peuvent plus se faire passer pour des HID légitimes, et les implants réseau ne pourront plus passer sous le radar. De plus, HAC-1 est déployé extrêmement rapidement, tout en utilisant un minimum de ressources – pas besoin de matériel ou de surveillance du trafic. Pensez à HAC-1 comme à un garde de sécurité virtuel qui garde la porte arrière fermée.

(D’accord, la cybersécurité ne peut jamais être infaillible à 100 %, donc la porte n’est pas entièrement fermée – mais elle est moins ouverte qu’auparavant !)

Lorsque vous « regardez » dans nos journaux de cybersécurité et que vous les croisez avec le comportement humain, que voyez-vous ?

Il fut un temps où l’analyse des indicateurs clés de performance (KPI) critiques pour soutenir la prise de décision basée sur la cybersécurité, les risques de sécurité et la gouvernance de la sécurité étaient gérés séparément, car leur objectif était de répondre à une demande sectorielle spécifique et n’était pas axé sur une stratégie d’entreprise centralisée.

Un processus de sécurité informatique développé

L’absence d’une vision holistique et corrélée des risques de ces compétences pourrait affecter l’exactitude des informations fournies pour conduire le CISO dans la tâche difficile de sensibiliser le niveau C à l’obtention d’un budget solide qui soutiendrait de nouvelles initiatives, des outils et des services qui, à leur tour, réduiraient potentiellement les risques globaux ou les pénalités financières causées par les lois et règlements sur la protection des données, les arrêts de production ou le risque d’image dû aux menaces d’initiés, et les attaques provenant d’acteurs externes.

Ce manque de visibilité est un processus naturel, étant donné que les outils du marché ont un champ de protection très spécifique qui peut limiter la corrélation des événements dans le SIEM à des KPIs essentiellement techniques. Par conséquent, il faut davantage d’outils pour combler les lacunes de la sécurité, de l’infrastructure et des réseaux afin d’aider à la visibilité de la composition d’informations plus pertinentes pour une prise de décision commerciale plus affirmée dans le contexte de la cybersécurité, en particulier lorsque nous parlons d’un environnement de sécurité en couches.

À partir de là, nous pouvons constater qu’il existe une opportunité inexplorée sur le marché, où la création et la corrélation de multiples indicateurs clés de performance techniques génèrent un tableau de bord analytique et où de multiples tableaux de bord analytiques génèrent une plateforme de BI pour la cybersécurité. Malgré le contexte technique, nous devons réfléchir au comportement humain dans le processus de cybersécurité, car les gens ont des comportements répétitifs qui peuvent être mesurés à travers les journaux techniques. Soyons réalistes, nous sommes tous entourés de personnes, sachant que 50 % d’entre elles sont des clients et des employés, et que les autres 50 % sont des équipes techniques, avec un pont technologique unissant les deux parties.

Par conséquent, la psychopathologie du comportement organisationnel est importante à partir du moment où nous considérons et cartographions chacun des modèles de menaces internes des entreprises. Ce même processus s’applique à d’autres contextes surveillés par la cybersécurité, par exemple, la sécurité de la périphérie : quels sont les plus grands délinquants externes, tels que les acteurs de la menace, la source de l’attaque, son type et sa pertinence ? Et quel type d’analyse comportementale pourrions-nous extraire de tous ces points ?

Une vue d’ensemble des principales menaces informatiques

En arrivant à un niveau élevé de maturité des processus, il est possible de générer des résultats stratégiques destinés à l’équipe de sensibilisation et de formation à la sécurité, en fournissant une vue d’ensemble des principales menaces et des comportements humains répétitifs. En conséquence, nous sommes en mesure de faire la différence entre les comportements malveillants et non malveillants en matière de cybersécurité.

Ensuite, nous pouvons personnaliser la formation spécialement pour ceux qui en ont besoin, en réduisant considérablement le budget massif investi pour former tous les employés de l’entreprise, en le transformant en une formation personnalisée pour un petit groupe d’employés. Tout cela sur la base de faits tangibles qui aideraient le processus de diligence raisonnable du niveau C.
Le bénéfice d’une véritable vision intégrée des menaces et de la réponse aux incidents, de processus automatisés matures et d’un tableau de bord de BI pour aider à la prise de décision critique, nous donnerait un guide clair pour l’étape suivante, qui est l’intelligence artificielle (comme moyen de réduire le délai d’identification des menaces sur la base des tendances d’attaques futures). Peut-être que ce mouvement, pour ceux qui y parviendront, pourrait être une alternative au manque potentiel de professionnels qualifiés pour travailler dans le domaine de la cybersécurité jusqu’en 2023 dans un scénario de reprise mondiale post-COVID-19.

Ainsi, compte tenu de la pluralité intrinsèque des connexions et des tendances de risques offertes par l’industrie 4.0, c’est peut-être le bon moment pour nous rappeler la loi de Moore et sa grande vitesse de changement technologique en un court laps de temps par rapport au choc culturel inhérent aux générations X, Y et Millennials, intégrant de violentes perturbations sur le marché et de nouveaux défis pour la cybersécurité dans son ensemble. Cependant, il reste deux choses qui ont tendance à ne pas suivre la même vélocité de ces changements : Les lois et les actions et comportements humains répétitifs.

Eduardo Anselmo a rejoint Serasa Experian en 2018 pour diriger l’équipe de cybersécurité du LATAM.Il est actuellement le responsable senior de la protection des données au niveau mondial du groupe Experian. Avec plus de 15 ans d’expérience en sécurité de l’information, risques de sécurité et gouvernance de la sécurité, il a travaillé pour des entreprises mondiales telles que Alcoa, GM, HP et Honda Motors. Diplôme : MBA Executive, MBA Strategic People Management, Université de Harvard.

Implication de l’infrastructure réseau sur le cloud

Il y a quelques années, l’idée de base des réseaux définis par logiciel (SDN) a été popularisée. Le SDN a été conçu lorsque ses partisans ont observé que les fournisseurs de périphériques réseau étaient incapables de répondre au rythme de changement requis par l’industrie. Les dispositifs ne pouvaient être programmés que par l’intermédiaire de l’interface de ligne de commande ou à l’aide du protocole Simple Network Protocol, ce qui ne répondait pas aux exigences en constante évolution d’interfaces facilement accessibles, flexibles et conviviales pour les applications.

Certains ingénieurs de l’université de Stanford ont créé le protocole OpenFlow qui pouvait fonctionner avec une architecture composée d’un certain nombre de dispositifs contenant uniquement des plans de données pour répondre aux commandes qui leur étaient envoyées par un contrôleur logiquement centralisé qui détenait le plan de contrôle de ce réseau. Le contrôleur était responsable de la maintenance de tous les chemins du réseau, ainsi que de la programmation de tous les dispositifs du réseau qu’il contrôlait. Ces communications étaient l’essence même du protocole OpenFlow.

Infrastructure de réseau sur le cloud

OpenFlow a conduit à la conceptualisation du SDN. OpenFlow pouvait même « transmogrifier » ces plateformes pour en faire n’importe quel autre dispositif de réseau. Par exemple, des pare-feu ou des NAT. Ce changement tectonique dans l’industrie des réseaux a été bien documenté dans plusieurs livres. Ces ouvrages expliquent que le SDN va au-delà de la séparation des plans de contrôle et de données et ne se résume pas à un seul protocole. On pensait que le SDN concernait les problèmes de programmation des réseaux et que les solutions SDN nécessitaient un ensemble de protocoles. Depuis, les technologies SDN ont beaucoup progressé et sont maintenant déployées dans des réseaux de production.

Certains auteurs ont estimé que l’approche consistant à remplacer chaque élément du réseau par des machines sans cervelle risquait de ne pas être adaptée dans la pratique. Ces observations étaient fondées sur des préoccupations concernant les coûts d’investissement et d’exploitation liés à une approche « greenfield » qui exigeait des opérateurs de réseau qu’ils remplacent leurs équipements existants par des équipements plus récents afin de bénéficier des avantages du SDN. Cependant, de nombreux déploiements SDN actuels sont en fait des réseaux « brownfield » qui ont évolué en commençant par être « prêts pour le SDN » plutôt que d’avoir le SDN activé. Cela signifie que la plupart des équipements existants ont été préservés jusqu’à la fin de leur durée de vie prévue, tandis que les capacités SDN ont été lentement ajoutées de manière incrémentielle.
Même dans un passé récent, les fonctions réseau telles que les pare-feu et le cryptage ne pouvaient être exécutées que sur des dispositifs matériels dédiés, construits à cet effet. La virtualisation des fonctions réseau (NFV) a permis aux serveurs de commodité de les accomplir. Il en est résulté des avantages considérables comme la réduction des coûts et la rapidité du déploiement des services.

Dans un NFV, le système d’exploitation de la couche de virtualisation coordonne le calcul et le stockage. En outre, il peut connecter les ressources partagées entre les fonctions de réseau virtuelles (VNF) qui pourraient s’exécuter sur le même serveur physique. Le composant de gestion et d’orchestration (MANO) orchestre et administre les VNF. La demande de bande passante et de services réseau étant en constante augmentation, les fonctions virtuelles peuvent être déployées au bon moment et au bon endroit, selon les besoins.

Qu’est-ce que le NFV ? Comment a-t-elle été conceptualisée ?

La virtualisation des fonctions réseau (NFV) peut être conçue à partir de certains des concepts de base et principaux du SDN. Il peut s’agir de la séparation du plan de contrôle et du plan de données, de la centralisation logique, des contrôleurs, de la virtualisation du réseau (superpositions logiques), de la sensibilisation aux applications, du contrôle de l’intention des applications, et de bien d’autres choses encore, sur des plateformes matérielles facilement disponibles (Commercial Off-The-Shelf (COTS)). NFV a favorisé la conceptualisation de nouvelles méthodes pour soutenir l’interconnexion des éléments de service, et de techniques capables de faire face à ses exigences dynamiques et à leur montée et descente en charge.

La pression sur les opérateurs de réseaux s’est accrue en 2013 et s’est transformée en véritables défis pour leurs activités.

Ce qui a commencé comme une vidéo OTT (Over-The-Top) et des médias sociaux dans leur base de clients haut débit, s’est transformé en offres de services OTT. L’externalisation de l’informatique des organisations vers des fournisseurs de cloud a transformé ces nouveaux concurrents en partenaires informatiques plus pertinents.

Les opérateurs filaires ont dû faire face à des transitions importantes et longtemps retardées dans les services basés sur le cuivre.

Les opérateurs sans fil ont été confrontés à un changement d’architecture coûteux lors du passage au LTE pour répondre à la demande croissante de services de données. Les points de pression ici étaient la présence croissante du Wi-Fi entraînant une croissance exponentielle de la demande, tandis que la concurrence signifiait que les prix devaient baisser. Cela signifiait une pression accrue de la part des investisseurs des fournisseurs de services traditionnels pour augmenter l’agilité opérationnelle, en particulier autour de l’agilité des services (réduction des coûts par l’automatisation, le provisionnement juste à temps, la mise en commun des ressources, etc.) et de l’innovation pour éviter l’obsolescence. ) et de l’innovation pour éviter l’obsolescence. Deux résultats étaient visés : concurrencer la menace OTT et éviter d’être relégué au rang de simple fournisseur de transport, et fournir de nouvelles sources de revenus.

De nombreux opérateurs, dont les activités sont à la fois filaires et sans fil, ont dû se regrouper pour réduire leurs coûts et accroître leur efficacité. Les répercussions se sont traduites par une réduction des dépenses d’exploitation et d’investissement (OPEX et CAPEX).

Sur un autre front, les concepts de virtualisation ont évolué, passant des opérations de machines virtuelles centrées sur l’entreprise à des composants plus composables et évolutifs tels que les conteneurs dans les nuages publics et privés.

L’optimisation des performances de l’infrastructure de virtualisation a commencé à être massivement adoptée grâce à des efforts tels que la version d’Open vSwitch (OVS) d’Intel compatible avec le Dataplane Development Kit (DPDK), ce qui a permis d’augmenter plus facilement le débit des fonctions réseau virtualisées.

Le cloud computing a attiré de plus en plus d’entreprises. Outre la réduction des coûts COTS, cela a également créé un environnement propice à l’externalisation des services.

Avant d’explorer chacun de ces domaines pour visualiser leur combinaison formant la base de NFV, il convient de définir NFV. NFV est le processus de conception, de construction et de déploiement de services réseau à l’aide de composants logiciels virtualisés et de leur découplage du matériel d’exécution. NFV orchestre des services et/ou des composants de services virtualisés, ainsi que leurs contreparties physiques. Elle peut donc créer, déployer, intégrer, configurer, modifier et supprimer les services.

Infrastructure de réseau dans le cloud

SDN est un composant de NFV. Il est le catalyseur de la NFV, mais pas l’inverse. Avec l’avancée des techniques d’orchestration et de virtualisation dans le matériel COTS, la NFV entre progressivement en vogue. Les avantages conçus dans les réseaux de production sont nombreux aujourd’hui. Tout comme le changement provoqué par le plan de contrôle, les concepts et composants SDN poussent les fournisseurs de services à revalider les hypothèses de la méthode actuelle – fournir un plan de service, fournir des services en utilisant du matériel virtualisé, flexible et COTS. L’existence du SDN apporte la crédibilité nécessaire.

La virtualisation n’est pas une panacée pour tous les problèmes de déploiement de services et introduit en fait de nouveaux problèmes de fiabilité qu’un système d’orchestration de services doit atténuer. La virtualisation, comme tout outil, déployée sans discernement, peut produire des résultats désastreux. Si la virtualisation est essentielle pour la NFV, l’orchestration et l’intégration requises doivent avoir une portée qui inclut les plates-formes de services actuelles et futures entièrement intégrées. À cet égard, le SDN peut fournir une « colle » pour les intergiciels.

Malgré l’acceptation universelle du SDN dans le contrôle de la virtualisation des services, le type de point ou de points de contrôle continuera à faire l’objet de débats. Pour NFV, le débat se manifeste autour des points de contrôle sans état et des points de contrôle proxy, ou lorsque des métadonnées en ligne ou imputées sont employées.

Infrastructure de réseau dans le cloud

SDN est un composant de NFV. Il est le catalyseur de la NFV, mais pas l’inverse. Avec l’avancée des techniques d’orchestration et de virtualisation dans le matériel COTS, la NFV entre progressivement en vogue. Les avantages conçus dans les réseaux de production sont nombreux aujourd’hui. Tout comme le changement provoqué par le plan de contrôle, les concepts et composants SDN poussent les fournisseurs de services à revalider les hypothèses de la méthode actuelle – fournir un plan de service, fournir des services en utilisant du matériel virtualisé, flexible et COTS. L’existence du SDN apporte la crédibilité nécessaire.

La virtualisation n’est pas une panacée pour tous les problèmes de déploiement de services et introduit en fait de nouveaux problèmes de fiabilité qu’un système d’orchestration de services doit atténuer. La virtualisation, comme tout outil, déployée sans discernement, peut produire des résultats désastreux. Si la virtualisation est essentielle pour la NFV, l’orchestration et l’intégration requises doivent avoir une portée qui inclut les plates-formes de services actuelles et futures entièrement intégrées. À cet égard, le SDN peut fournir une « colle » pour les intergiciels.

Malgré l’acceptation universelle du SDN dans le contrôle de la virtualisation des services, le type de point ou de points de contrôle continuera à faire l’objet de débats. Pour NFV, le débat se manifeste autour des points de contrôle sans état et des points de contrôle proxy, ou lorsque des métadonnées en ligne ou imputées sont employées.

Les pour et les contre ?

Avantages de NFV

La mise en œuvre de NFV comme alternative à l’architecture standard présente de nombreux avantages. Certains d’entre eux sont présentés ci-dessous :

• Réduction des CAPEX et OPEX
• Plus grande facilité d’extension et de réduction du réseau
• Une plus grande agilité des services pour soutenir des déploiements de services plus rapides.
• Simplicité opérationnelle accrue
• Innovation plus rapide grâce à l’élimination du besoin de changement de matériel.
• Le NFV peut être un générateur de revenus viable.

« Bien que l’utilisation de la NFV pour influer de manière significative sur la vitesse des services pose encore des problèmes, la technologie peut déjà permettre d’offrir une nouvelle gamme de fonctions de service qui seront utilisées pour générer des revenus », selon Tom Nolle de CIMI Corporation.

Amélioration de la collecte de données, de l’analyse et des processus de prise de décision.

Inconvénients de NFV

NFV est basé sur SDN et présente donc les mêmes limitations. Comme le SDN, NFV doit encore évoluer pour gagner en fiabilité lorsqu’il est déployé au niveau de l’entreprise. Mais cela n’est pas si loin. Voici quelques-uns des autres défis spécifiques auxquels le NFV devra faire face à l’avenir :

• Coexister dans un environnement hybride intégré au cloud avec des dispositifs physiques.
• Contrairement aux environnements informatiques classiques, NFV nécessite de gérer l’informatique dans l’abstrait.
• NFV est plus dynamique que l’environnement traditionnel, avec la nécessité éventuelle d’évoluer tout en ajoutant de nouvelles fonctionnalités.
• NFV nécessite un réalignement des processus pour la gestion simultanée de l’infrastructure traditionnelle et virtuelle.

Relever les défis de la NFV

La transition vers la virtualisation de la fonction réseau prendra du temps. Dans certains cas d’utilisation, l’adoption pourrait être plus rapide, car il s’agit du besoin du moment. Les réseaux existants resteront probablement en place pendant un certain temps.

Afin de répondre aux exigences d’une transition vers la virtualisation, l’architecture doit fournir :

• Une prise en charge des changements dynamiques et en temps réel du réseau et des services en réponse aux événements du réseau.
• la séparation de la configuration du réseau et de la gestion de l’état du réseau
• la prise en charge d’une approche de modélisation des services de réseau
• Interfonctionnement avec les plateformes d’orchestration de réseau
• Interfonctionnement avec les contrôleurs SDN
• Infrastructure de réseau dans le nuageIl est également essentiel de bien planifier la stratégie de migration avant de commencer à déployer la virtualisation du réseau. Les réseaux des grandes entreprises trouveront ici davantage d’applications. Cela peut rendre le remplacement de l’infrastructure existante beaucoup plus complexe.

Une façon d’atténuer ce problème est d’adopter un environnement hybride dans lequel les capacités de réseau virtuel sont déployées dans les domaines où elles offrent la plus grande valeur perçue ou dans lesquels une mise à niveau de l’héritage est nécessaire.

Conclusion

L’infrastructure de réseau dans le nuage – NFV est un nouveau concept qui gagne rapidement en popularité. Il peut potentiellement relever bon nombre des défis des réseaux actuels et futurs. Cependant, comme pour tous les nouveaux concepts, il est suggéré d’examiner attentivement le nouveau cas et de l’adopter progressivement afin de vérifier la valeur qu’il apporte avant une adoption généralisée.

par Dr. Al Graziano, PDG, Silensec | CYBER RANGES

Au cours des deux dernières années, le marché de la cybersécurité a assisté à l’introduction d’un nombre de plus en plus important de technologies, de produits et de services liés à la cyber gamme.

En examinant les gammes de produits cybernétiques, il est facile de reconnaître le comportement typique capturé par le célèbre modèle de diffusion et d’innovation décrit pour la première fois par le professeur Everett Rogers en 1962 et utilisé au fil des ans pour décrire comment les nouvelles idées et technologies se répandent et sont adoptées par les consommateurs.

Comprendre ce qu’est une cyber-gamme et où en est le marché aujourd’hui en ce qui concerne la diffusion et l’adoption de la technologie des cyber-gammes est essentiel pour garantir des investissements réussis tout en réduisant les attentes déçues.

Dans cet article, j’ai décrit ce qu’est un champ d’action cybernétique, l’état actuel de la technologie et ses limites, et ce que je pense que les champs d’action cybernétiques deviendront dans les années à venir.

Qu’est-ce qu’un champ de tir cybernétique ?

Pendant de nombreuses années, les champs de tir cybernétiques ont été définis comme une représentation interactive et simulée d’environnements TIC et/ou OT, y compris la simulation de services Internet dans le but principal de tester la sécurité. Toutefois, depuis que le cyberespace est devenu un domaine militaire distinct – le ministère de la défense des États-Unis l’a officiellement intégré comme cinquième dimension militaire en 2011, tandis que l’OTAN n’a reconnu le cyberespace comme un domaine opérationnel que plus tard, en 2016 – toutes les nations du monde entier élaborent de plus en plus de stratégies de cybersécurité, y compris le développement et l’acquisition de cyber-capacités. Celles-ci peuvent être définies comme les ressources et les moyens dont dispose un État pour résister ou projeter une influence par le biais du cyberespace.

Dans un tel contexte, le champ d’application des cyber-compétences s’est élargi pour inclure l’éducation à la sécurité (du lycée à l’université), la formation à la sécurité et l’évaluation des compétences, le développement et l’évaluation de la cyber-résilience, ainsi que le développement de la dextérité numérique, que Gartner définit comme « la capacité et le désir d’exploiter les technologies existantes et émergentes pour obtenir des résultats commerciaux « 1 .

Il n’est donc pas surprenant que les premières cyber-séries aient été développées dans le domaine militaire pour servir un groupe d’utilisateurs très spécifique et des cas d’utilisation très précis. Toutefois, avec l’augmentation du nombre d’applications et des exigences d’évolutivité, il est rapidement apparu que la facilité d’utilisation d’un champ de tir cybernétique était étroitement liée à un ensemble de fonctionnalités supplémentaires qui vont bien au-delà de la capacité initiale à fournir une représentation simulée de l’infrastructure TIC/OT.
C’est pourquoi, au cours des deux dernières années, le marché s’est référé à ce qui est maintenant défini comme des « cyber-plages de nouvelle génération ».

La première définition d’un champ de tir cybernétique de nouvelle génération a été inventée par l’Organisation européenne de cybersécurité (ECSO)2, qui définit un champ de tir cybernétique comme suit :
« Une plateforme pour le développement, la fourniture et l’utilisation d’environnements de simulation interactifs. Un environnement de simulation est une représentation des systèmes, applications et infrastructures TIC, OT, mobiles et physiques d’une organisation, y compris la simulation d’attaques, d’utilisateurs et de leurs activités et de tout autre service Internet, public ou tiers dont l’environnement simulé peut dépendre. Une cyber-série comprend une combinaison de technologies de base pour la réalisation et l’utilisation de l’environnement de simulation et de composants supplémentaires qui sont, à leur tour, souhaitables ou nécessaires pour réaliser des cas d’utilisation spécifiques de la cyber-série. »

Par rapport à un champ d’action cybernétique traditionnel, un champ d’action cybernétique de nouvelle génération est donc présenté comme une plate-forme qui inclut la capacité de simuler des environnements TIC/OT, mais aussi l’ensemble des fonctionnalités intégrées qui aident à l’utilisation des environnements de simulation. La facilité avec laquelle il est possible de créer dynamiquement différents environnements de simulation et l’étendue des fonctionnalités offertes varieront alors selon les différents produits de la gamme cybernétique.

Technologies des cyber-plages.

Lorsque l’on parle des technologies des champs de tir cybernétiques, la discussion porte principalement sur la virtualisation, car c’est la seule technologie qui permet de créer des environnements de simulation rentables et efficaces. Naturellement, tout ne peut pas être simulé en utilisant les technologies de virtualisation et certaines parties d’un environnement de simulation peuvent effectivement nécessiter des composants physiques, comme dans la simulation de systèmes de contrôle industriels. De manière générale, on peut diviser les cyberespaces en deux types, en fonction des technologies de virtualisation utilisées pour les développer :

Cyber-plages conventionnelles – Il s’agit de cyber-plages basées sur la virtualisation conventionnelle, y compris la virtualisation traditionnelle dépendant d’un hyperviseur et de la technologie des conteneurs. De nombreuses cyber-plages reposent sur l’une ou l’autre, ou sur une combinaison des deux. Les cyber-plages construites sur la virtualisation traditionnelle ne sont pas caractérisées par un fort niveau d’orchestration et sont généralement associées à des emplacements de cyber-plages physiques avec de grands déploiements de virtualisation. Pour les mêmes raisons, les cyber-plages classiques ne sont généralement pas qualifiées de cyber-plages de nouvelle génération.

Cyber-plages basées sur le cloud – Il s’agit de cyber-plages basées sur la technologie du cloud. Il existe actuellement trop de types de ces cyber-plages :

• Gammes cybernétiques en cloud public – Il s’agit de gammes cybernétiques développées sur des fournisseurs de nuages publics tels que AWS, MS Azure ou Google. Elles sont étroitement intégrées aux fournisseurs de clouds publics et ne sont disponibles que sous forme de services de clouds sans options sur site.
• Gammes cybernétiques de cloud privé – Il s’agit de gammes qui ne reposent pas sur des fournisseurs de cloud public mais qui sont développées sur des technologies de cloud similaires, offrant ainsi la flexibilité d’être proposées en tant que service de cloud ou déployées sur site.

La prise en charge inhérente de l’orchestration, des configurations dynamiques, de l’efficacité accrue et de l’évolutivité fait de la technologie basée sur le cloud le choix privilégié pour les cyber-gammes de nouvelle génération.

L’essor des gammes de clouds publics.

Une grande partie des connaissances du marché sur les cyber-plages aujourd’hui est basée sur les cyber-plages développées sur les fournisseurs de cloud public. C’est à la fois une bonne et une mauvaise chose et cela mérite une attention particulière afin de permettre aux utilisateurs de bien comprendre ce qu’est une gamme cybernétique et d’éviter les attentes déçues.

La plupart des fournisseurs de cyberespaces basés sur le cloud se concentrent aujourd’hui sur un cas d’utilisation spécifique, à savoir la fourniture d’environnements d’apprentissage pratiques et flexibles dans lesquels les utilisateurs peuvent suivre des scénarios « click-and-play » portant sur une série de domaines de sécurité différents, du piratage éthique à la réponse aux incidents et à l’analyse des logiciels malveillants. Bien qu’ils soient présentés comme des gammes cybernétiques, ces fournisseurs ne proposent pas toutes les fonctionnalités requises par un utilisateur pour créer des environnements de simulation personnalisés et utiliser ces environnements pour des cas d’utilisation sur mesure. Ce que vous voyez est ce que vous obtenez, et les utilisateurs de ces cyber-plages sont limités à ce qui est disponible dans la bibliothèque exposée par le fournisseur de cyber-plages. En outre, la plupart de ces cyber-plages dépendent des fournisseurs de nuages publics et de l’API exposée par ces fournisseurs et ne peuvent être déployées sur place. En outre, toute personnalisation est liée au fournisseur de services, ce qui laisse peu ou pas de liberté à l’organisation pour exploiter le cyberespace proposé.

Conformément à la définition des cyber-plages de nouvelle génération, les cyber-plages en ligne basées sur des fournisseurs de nuages publics ne représentent pas une cyber-plage en soi et offrent uniquement un cas d’utilisation spécifique des cyber-plages. En outre, ces cyber-gammes ne peuvent pas être utilisées lorsqu’il existe des limites ou des contraintes, par politique ou par réglementation, qui interdisent l’utilisation du cloud public pour le stockage de données personnelles.