Homme tapant sur un clavier d'ordinateur

Homme tapant sur un clavier d'ordinateur


par Kumar Ritesh, fondateur et PDG de Cyfirma

Cybersécurité axée sur le renseignement

On estime que la cybercriminalité coûtera au monde 6 000 milliards de dollars par an d’ici 2021. Plus d’un milliard de programmes malveillants sont actuellement en circulation. Et selon une étude de la Clark School, il y a une cyberattaque toutes les 39 secondes.

De toute évidence, les mesures prises par les praticiens de la cybersécurité pour gérer les cyberrisques et prévenir les cyberattaques ne fonctionnent pas. Une stratégie de cyberdéfense centrée sur les contrôles de sécurité et faisant largement appel à des pare-feu et à des logiciels antivirus est tout simplement insuffisante pour gérer l’assaut des cybermenaces.

Le secteur a été formé et entraîné à prêter attention aux alertes, incidents et violations de la cybersécurité. C’est ce que nous appelons des « cyberévénements ». Nos cerveaux ont été câblés pour sauter et agir dès que nous voyons une lumière rouge clignotante sur un tableau de bord SIEM ou SOAR.

Et nous réagissons, en masse, lorsqu’un véritable cyberincident s’est déjà produit. Un cyberincident attire l’attention de tout le monde dans la hiérarchie de l’entreprise, du personnel de base au conseil d’administration.

Pour réduire efficacement le nombre de cyberintrusions, un changement radical de mentalité est nécessaire. Les dirigeants doivent redéfinir le concept d’une cyber posture forte et reléguer la sécurité basée sur les événements à la place qui lui revient : celle d’une approche inférieure de la gestion des cyber risques et des menaces.

Un état d’esprit axé sur les événements

Permettez-moi de vous présenter quelques scénarios pour illustrer ce à quoi ressemble un état d’esprit typique basé sur les événements dans une organisation.

Une équipe d’exploitation informatique passe son temps à rechercher des corrections de bogues et des correctifs de sécurité, à résoudre les problèmes informatiques des utilisateurs (« Au secours ! Je crois que j’ai cliqué sur un truc bizarre ! »), à effectuer des sauvegardes de données et à réaliser d’autres tâches opérationnelles. Ces fonctions quotidiennes permettent à chacun d’être productif. Lorsqu’un cyberincident ou une violation de données se produit, les alarmes se mettent à sonner. Les mesures correctives prennent le pas sur les autres et deviennent prioritaires. L’équipe se concentre à 100 % sur la résolution du cyberincident.

Lorsqu’elle étudie la violation, elle se concentre sur la réalisation d’une enquête technique, l’analyse du logiciel malveillant qui vient d’atterrir ainsi que de sa signature et de son modèle malveillant, et peut-être même sur la tentative de réingénierie de l’attaque, si le temps le permet. Le plus souvent, un effort herculéen est investi dans la récupération des données et la remise en service des applications. Ensuite, l’équipe reste assise et attend le prochain incident.

Une cybersécurité basée sur l’intelligence

Les organisations qui ont une mentalité basée sur les événements sont en mode d’hyper-alerte lorsque l’audit annuel de l’informatique, des risques et de la gouvernance arrive. Toutes les initiatives en matière de cybersécurité qui avaient été reportées l’année précédente deviennent soudainement urgentes et importantes, et des mesures sont prises pour les aligner sur la conformité à l’audit.

Lorsqu’un événement commercial important se produit, comme l’expansion sur un nouveau marché ou la fusion avec une autre entreprise, les contrôles, les personnes et les processus de cybersécurité sont de nouveau à l’ordre du jour. Un procès concernant la protection de la vie privée accroît également l’importance et le profil de la cybersécurité au sein de l’entreprise.

La sensibilisation et l’éducation à la cybersécurité sont introduites auprès de tous les employés lorsqu’un incident s’est produit ou pour se conformer aux règles du secteur. Dans les scénarios ci-dessus, les actions visant à renforcer la posture et les contrôles en matière de cybersécurité n’interviennent qu’après un événement négatif. L’appel à la connaissance de la situation devient une simple réaction réflexe. Une approche proactive et holistique de la gestion des menaces et des risques, connus ou non, est tout simplement absente.

Ordinateur avec du code affiché sur l'écran

Un état d’esprit axé sur l’intelligence

Maintenant, retournons la situation.

Lorsque les dirigeants envisagent la cybersécurité de l’extérieur en adoptant une approche axée sur le renseignement, ils savent que les équipes chargées des opérations de sécurité ne se contentent pas de réagir aux événements et aux alertes, mais qu’elles se lancent dans une chasse proactive aux menaces.

En tant que responsable de la sécurité, votre mesure du succès n’est pas le nombre d’incidents que vous avez gérés, mais le nombre de menaces potentielles que vous avez découvertes et corrigées.

En abandonnant le syndrome de la cybersécurité axée sur les événements (où les alertes, les incidents, les violations, les audits, la conformité et la confidentialité sont prioritaires), vous adoptez les idées, les signaux et les renseignements cybernétiques comme principes directeurs pour renforcer votre posture de cybersécurité.

Les ressources sont affectées à l’identification proactive des vecteurs d’attaque potentiels et à la mise en place de contrôles de sécurité appropriés. Les responsables de la sécurité s’attachent à démêler le contexte entourant un indicateur de menace (motif de l’attaque, intention, etc.) et ne se contentent pas de remédier aux indicateurs de compromission (IP, signatures, modèles, fichiers malveillants, etc.).

On attend des dirigeants qu’ils prévoient une cyberattaque et qu’ils assurent la cyberpréparation avant qu’un événement ne soit déclenché. La connaissance du paysage des menaces externes devient un élément clé qui guide les dirigeants dans la prise de décisions commerciales. Les renseignements cybernétiques recueillis sont également appliqués aux différentes fonctions de l’entreprise.

Et lorsque vient la saison des audits, la cyberintelligence doit être un élément déterminant de l’approche corrective de l’entreprise, afin de garantir que les risques internes et externes sont atténués à tous les niveaux. La gestion de la conformité doit être menée sur la base de renseignements provenant du paysage des menaces externes, et les exigences et paramètres de conformité doivent être adaptés en fonction de l’évolution du paysage.

L’organisation apprécie l’importance de la confidentialité et veille à ce que les données des employés, des clients et des fournisseurs soient dûment anonymisées, aseptisées et cryptées. Les processus de sécurité sont mis à jour et ajustés en fonction de l’évolution du paysage des menaces. C’est la stratégie de cybersécurité agile à l’œuvre.

Avec un état d’esprit axé sur le renseignement, l’organisation adopte également une approche de « culture du piratage » dans laquelle le personnel de cybersécurité travaille en partant du principe que vous avez déjà été piraté. En tant que dirigeant efficace, vous concevez vos contrôles, vos processus et votre stratégie de cybersécurité sur la base de ce postulat, en vous appuyant sur les renseignements, la motivation des adversaires et la probabilité d’une attaque comme points de repère.

Un état d’esprit fondé sur le renseignement pour guider la cybersécurité est clairement une meilleure approche que d’attendre que des événements indésirables se produisent avant d’agir. Cette évolution exige des dirigeants qu’ils considèrent la cybersécurité non seulement comme une fonction relevant de l’informatique, mais aussi comme un moteur essentiel de la croissance et de l’innovation.

En résumé sur les contrôles de sécurité

Les contrôles de sécurité sont composés de personnes, de processus et de technologies, et sans tests réguliers contre des menaces réelles, il n’y a aucun moyen de s’assurer qu’ils fonctionneront comme prévu le moment venu. Les anciennes pratiques de test manuel sont sporadiques et n’offrent pas une couverture suffisante pour garantir leur efficacité. Une solide plateforme de simulation de violation et d’attaque émule l’adversaire et génère des données en temps réel pour aider à identifier les défaillances de contrôle, à résoudre les faiblesses structurelles et à prendre des décisions d’investissement intelligentes.

Les programmes de cybersécurité non testés constituent un risque pour votre entreprise s’ils ne parviennent pas à stopper les ransomwares ou autres cyberattaques. Même avec les technologies de cyberdéfense les plus avancées, les contrôles peuvent échouer en raison d’une mauvaise configuration de la technologie, de la performance de l’équipe ou de lacunes dans les capacités.

Historiquement, la BAS était largement axée sur l’exécution d’attaques et le renforcement de l’équipe rouge et, au fur et à mesure de son évolution, sur la validation des contrôles de sécurité. Aujourd’hui, l’objectif est de maximiser l’efficacité du programme de cybersécurité dans son ensemble.

En fin de compte, une équipe de sécurité armée d’une plateforme BAS qui contribue à optimiser l’ensemble de son programme de sécurité améliorera son efficacité et son efficience globales. Vous pouvez émuler l’adversaire avec réalisme pour tester votre programme de sécurité, en générant des données de performance en temps réel qui vous permettent d’améliorer votre posture de sécurité et d’avoir la certitude que vos investissements fonctionnent comme prévu pour protéger votre organisation.

Commentaires