En ce début d’année 2023, les prévisions des analystes vont bon train… Pourtant il existe toujours trois problèmes fondamentaux récurrents de cybersécurité qui restent une priorité de l’IT pour assurer la cyber-résilience des entreprises.
Nous pourrions qualifier ce phénomène de rituel : les prédictions et tendances en matière de cybersécurité pour 2023 sont publiées en janvier ou en fin d’année précédente. Pourtant, les enjeux qui en découlent n’évoluent pas toujours de façon spectaculaire d’une année sur l’autre. Même au cours d’une année aussi imprévisible que 2022, les menaces auxquelles les entreprises et les particuliers ont été confrontés étaient somme toute assez similaires à celles des années précédentes (comme le phishing et la fraude) même si la pérennisation du télétravail à grande échelle les ont amplifiés.
Il existe trois écueils fondamentaux que le secteur de l’IT doit résoudre en vue de transformer durablement le paysage des risques cyber : le manque de main-d’œuvre, la gestion de la vulnérabilité et la nécessité pour les fournisseurs de créer des technologies plus sûres. Ce n’est qu’après avoir résolu ces problèmes fondamentaux que les organisations auront une chance de lutter contre les menaces les plus avancées et en constante évolution.
Une pénurie de compétences chronique
La cybersécurité évolue dans un environnement asymétrique dans lequel les pirates ont un potentiel quasi illimité pour nuire aux entreprises, tandis que les « défenseurs », eux, n’ont aucune marge d’erreur. Quel que soit le secteur d’activité, tout environnement de ce type nécessite une équipe de défense hors pair. Cependant, la plupart des entreprises peine à la mettre en place. Pourquoi ? Car les talents manquent.
La pénurie de talents est ainsi et sans doute, le plus grand obstacle auquel le secteur de la cybersécurité est confronté. Selon le cabinet PwC, nous faisons face à un manque de main d’œuvre constant en France, au point que plus de 5 000 postes sont actuellement à pourvoir dans ce domaine. Investir dans des programmes de formation devient désormais essentiel afin d’attirer et retenir les talents nécessaires et ainsi maintenir la sécurité des entreprises. En outre, rendre le secteur moins dépendant des ressources humaines, grâce à l’innovation en matière de cyberdéfense automatisée, devient également un prérequis incontournable. Les entreprises qui s’efforcent de combler leurs besoins en matière de recrutement dans la cybersécurité peuvent également impulser certaines initiatives, allant d’une formation dédiée (risques informatiques, analyse des données, ingénierie) pour les employés, à un changement de poste pour les plus passionnés.
Mais le secteur privé ne devrait pas détenir le monopole de ces stratégies. Le secteur public – établissements d’enseignement notamment – devrait également investir dans la cybersécurité comme une priorité stratégique à long terme, car elle est essentielle à la sécurité et à la stabilité d’un avenir en tant que nation dépendant du numérique.
Une gestion des vulnérabilités à pérenniser
De nombreuses entreprises rencontrent des difficultés dans la gestion des vulnérabilités. Pour faire face, elles doivent d’abord identifier les technologies qu’elles ont déployées et dont elles dépendent pour fonctionner – souvent par le biais d’un système d’inventaire des actifs – avant de trouver et corriger les mauvaises configurations et autres failles en temps utile.
Alors que les processus de gouvernance informatique tels que l’inventaire des actifs et la gestion des correctifs semblent triviaux, le secteur semble pourtant avoir du mal à respecter quelques principes de base – et les pirates informatiques continuent à en profiter.
Le débat autour de l’inventaire des actifs doit ainsi s’étendre au-delà des systèmes gérés par l’informatique, à tout ce qui est connecté aux réseaux d’entreprise, ainsi qu’aux services cloud tiers dont dépendent les entreprises. En outre, le timing appliqué aux correctifs doit s’organiser en fonction des priorités. Il s’agit d’une dimension cruciale car il faut généralement des semaines, voire des mois pour corriger des vulnérabilités que les pirates exploitent souvent depuis des heures, voire des jours. Il est donc impératif de connaître la technologie dont dispose l’entreprise à tout moment, en temps quasi réel, afin d’identifier et corriger les vulnérabilités en quelques heures. Bien que ce niveau d’excellence dépasse les normes du secteur, les entreprises doivent s’efforcer de l’atteindre afin de se défendre contre les menaces actuelles.
Des infrastructures inadaptées
Au cœur de la plupart des vulnérabilités se trouvent des systèmes technologiques qui n’ont pas été conçus dans un souci de sécurité. Ils font souvent appel à des pratiques de conception et de développement inadéquates. Un écueil qui ne fait que s’aggraver à mesure que le nombre d’entreprises développant des technologies explose et que l’essor de produits « intelligents » tous secteurs confondus – des entreprises d’électroménager aux fabricants de montres – démontre que la conception du code n’est désormais plus exclusive.
Un accroissement des compétences chez les fournisseurs permettrait d’être plus efficient dans le développement de technologies plus sûres et résilientes, conçues en prévoyant la manière dont ces appareils se connecteront à des réseaux qui grouilleront probablement de pirates. Une approche de la sécurité intrinsèque permet d’obtenir une technologie moins susceptible de présenter des bogues de sécurité, mais aussi d’échouer avec moins de conséquences lorsque des vulnérabilités sont inévitablement découvertes. En outre, le déploiement de technologies plus sûres réduit le besoin de dizaines d’outils de sécurité palliatifs que la plupart des entreprises sont obligées d’utiliser, ce qui réduit à son tour la main-d’œuvre cybernétique qualifiée nécessaire pour exploiter ces mêmes outils. Ceci illustre l’harmonie et l’interaction qui existent entre ces trois domaines fondamentaux de la sécurité. Ce n’est qu’en mettant en œuvre chacun d’entre eux de concert que le plein potentiel sera exploité.
La taille et les moyens (financiers ou humains) sont des éléments déterminants dans l’exposition aux risques des entreprises, qu’elles soient publiques ou privées. De ce fait il est crucial de mettre en place des solutions de cyber résilience innovantes et automatisées, qui assurent un maintien en condition opérationnelle facilité et/ou opérées par un tiers, pour relever les défis actuels et futurs auxquels les entreprises sont confrontées.
____________________________
Par David Bécu, Directeur Data Protection & Cyber Recovery chez Dell Technologies