Hier encore sujet d’experts méconnu du grand public, la cybersécurité fait aujourd’hui régulièrement la Une des media et s’invite dans les conversations entre néophytes. Cette situation n’est pas dû au hasard mais bien aux très nombreuses campagnes d’attaques qui ont visé ces dernières années les particuliers comme les entreprises. A l’occasion du mois de la cybersécurité qui se tient en octobre, le gouvernement français a lancé des outils pour aider les organisations à mieux comprendre les techniques utilisées par les cybercriminels et s’en protéger.
En effet, si l’adage, affirmant que la question n’est plus de savoir « si » mais « quand » une infrastructure sera victime d’une attaque, a été mainte fois répété, il semblerait que des organisations succombent toujours du fait de vulnérabilités. Ainsi, selon une étude PwC, 76 % des organisations ont subi une attaque en 2017 dans l’Hexagone, et les pertes financières ont augmenté de 50 %.
De nombreuses entreprises sous-estiment encore la menace et tardent à former leurs employés et à déployer les outils nécessaires :
En cybersécurité, la seule constante est le changement. Chaque nouvelle attaque, chaque nouveau malware, le démontre. Face à ce paysage mouvant, une autre constante plus inquiétante ressort de chaque étude publiée : les entreprises se montrent encore trop confiantes sur leur capacité à contenir les menaces, et seul un tiers d’entre elles considère malheureusement la cybersécurité comme prioritaire. L’entrée en vigueur, en mai dernier, du RGPD peut également avoir faussé leur perception : en étant conforme au règlement, des organisations pensent être protégées et à même de faire face aux cyber-risques ; or, conformité ne signifie pas nécessairement sécurité. Une protection optimale nécessite, en effet, d’aller plus loin encore, avec une vigilance continue, qui passe notamment par une formation régulière des équipes sur les bonnes pratiques et la mise en place d’outils capables de détecter rapidement toute tentative de compromission de données.
Actuellement, un attaquant parvient à rester en moyenne 99 jours dans un système sans être repéré ; soit 99 jours de trop. Il est donc primordial de renforcer la sécurité en appliquant une stratégie du moindre privilège pour noter toute activité inhabituelle ou suspicieuse. En d’autres termes, les employés doivent avoir les accès strictement nécessaires à l’exécution de leurs missions, afin de limiter les déplacements latéraux dans le réseau, les erreurs de manipulation de données ou les actions malveillantes. Par ailleurs, si une personne quitte la société, ses droits d’accès doivent être révoqués immédiatement. En cas d’embauche, une enquête approfondie est à effectuer pour tout poste à responsabilité bénéficiant de privilèges avancés ; pour vérifier l’identité du candidat, son expérience et d’éventuels écarts de conduite auprès de ses anciens employeurs. En outre, les connexions sont à surveiller étroitement. Une mesure qui doit être aussi appliquée aux intervenants extérieurs, afin qu’ils ne deviennent pas une porte d’entrée pour les cybercriminels.
Afin d’aider les équipes de sécurité à gérer cet ensemble d’éléments, l’automatisation des outils de sécurité et l’apprentissage automatique peuvent se révéler utiles, libérant ainsi ces employés de tâches très chronophages. L’approche à constamment privilégier est « faire confiance, mais vérifier », et ce auprès de tous les acteurs : employés, candidats, partenaires et prospects. En effet, si une cyber-hygiène et des contrôles efficaces ne sont pas appliqués, les organisations s’exposent à des risques aux conséquences connues et inconnues. L’objectif est toujours d’éviter autant que possible toute menace interne ou externe, de protéger les données sensibles, de garantir l’activité, et d’éviter des pertes financières et une image de marque ternie.
Cependant, si plusieurs outils sont parfois nécessaires pour assurer une protection optimale, trop de couches technologiques peuvent finalement nuire à la sécurité : elles sont parfois mal déployées ou incompatibles entre elles, provoquant des pannes ou des erreurs, et représentent pour les équipes IT autant de solutions à manager, avec une quantité de patchs parfois ingérables lorsque les cycles s’accélèrent. Il est important, en fin de compte de rester réaliste quant à ses capacités technologiques et humaines vis-à-vis de la menace, et de ne mettre en place que des outils qui sont maîtrisés par les équipes et pourront être complètement optimisés.
Finalement, la prévention et la prédiction doivent remplacer la réaction. Les entreprises peuvent notamment s’appuyer sur l’automatisation, le machine learning ou encore sur d’autres innovations technologiques, telles que le deep learning. Elles lutteront ainsi plus efficacement contre toutes les personnes malveillantes et éviteront que le bilan de cette année n’indique une nouvelle augmentation des pertes financières pour les victimes. »
__________
Jean-Christophe Vitu, VP Solution Engineers EMEA, chez CyberArk.