La révolution industrielle a changé le monde en permettant de créer plus vite, mieux et de manière plus efficace dans de nombreux secteurs d’activités. Si on établit des parallèles avec cette période importante de l’histoire, « l’industrialisation du hacking » a rapidement créé un nouveau secteur visant à tirer profit des attaques de nos infrastructures informatiques.
A cause d’incitations économiques et politiques, de maillons faibles dans la chaine de sécurité et de nouvelles fragilités pour des business modèles en constante évolution, les hackers mènent des attaques de plus en plus sophistiquées et préjudiciables.
« L’industrialisation du hacking » est profondément en train de changer la façon dont nous devons protéger nos systèmes et nous conduire à réfléchir à la façon de faire évoluer notre approche de la cybersécurité.
Tout comme les techniques et les capacités des hackers ont évoluées, les technologies et la manière de se protéger doivent évoluer. Cela signifie aller vers des systèmes de protection qui reposent sur la visibilité, l’analyse de l’information, la capacité à apprendre grâce à la corrélation et au contexte, puis de passer des contrôles statiques à des contrôles dynamiques.
De nombreuses technologies de sécurité traditionnelles agissent à un instant T, avec des responsables de la sécurité qui doivent attendre que les éditeurs mettent à jour les protections. Cette approche statique fonctionnait assez bien lorsque les virus informatiques étaient la principale menace. Mais aujourd’hui, ces solutions ne répondent pas aux besoins d’évaluation du niveau de sécurité et d’ajustement en temps réel des responsables de la sécurité. Et tandis que ces solutions permettent une protection minimale, elles manquent de l’agilité nécessaire pour évoluer et se protéger dans un environnement en constante évolution. Cependant, dans certains déploiements, les contrôles statiques sont nécessaires pour répondre aux exigences de conformité réglementaires.
Etant donné le rythme et la complexité des menaces actuelles, ainsi que le manque de compétences en matière de cybersécurité, les contrôles modifiés manuellement ne sont plus adaptés. Alors que les contrôles statiques représentent la majorité des contrôles dans les entreprises aujourd’hui, de plus en plus de Centres Opérationnels de Sécurité (Security Operations Centers – SOC) sont construits pour compenser le manque de flexibilité et d’agilité de ces contrôles ainsi que le manque de personnel formé en interne.
Grâce aux contrôles semi-automatiques, les responsables de la sécurité disposent de la visibilité et de la connaissance du réseau nécessaires pour leur permettre d’appliquer des contrôles. Cependant, pour les données les plus sensibles (étant donné que toutes les protections ne sont pas mises en place avec le même niveau de sécurité) elles nécessitent encore une intervention humaine, après que le système ait fait des recommandations, pour vérifier et appliquer ces recommandations. En intervenant manuellement, les responsables de la sécurité laissent une fenêtre ouverte aux hackers, qui ciblent principalement les données les plus sensibles. Dans les environnements semi-automatiques, la protection commence à évoluer, mais elle n’est pas suffisamment standardisée, mécanisée et axée sur les processus, pour être aussi efficace qu’elle devrait l’être.
Les contrôles dynamiques sont appliqués selon des niveaux élevés d’automatisation, où les systèmes de sécurité répondent automatiquement aux menaces. Les responsables de la sécurité bénéficient ainsi de la visibilité et de la connaissance du réseau pour rapidement adapter et mettre en œuvre les politiques de sécurité en temps réel, basées sur ce qui est vu et connu, pour réduire la surface d’attaque ou remédier aux dommages causés par une attaque. C’est le seul moyen de lutter contre les attaques ciblées, qui évitent les outils de protection à l’aide du contournement de port/protocole, des tunnels cryptés, et des techniques basées sur l’ingénierie sociale et les attaques zéro-day. Ces attaques avancées évoluent rapidement à mesure qu’elles progressent dans le réseau de l’entreprise, cherchant un point d’entrée pour exfiltrer des données critiques.
Avec les contrôles dynamiques, les professionnels de la sécurité augmentent le degré d’automatisation, basé sur une confiance accrue dans les périphériques, les utilisateurs et les applications au fil du temps. Ils peuvent ainsi déployer les technologies les plus appropriées en fonction des besoins, pour une flexibilité maximale.
Les contrôles dynamiques commencent à se mettre en place car ils sont nécessaires pour répondre aux nouveaux défis de la mobilité, du Cloud, de l’Internet des objets et de l’Internet of Everything (IoE).
Grâce aux contrôles prédictifs, les entreprises peuvent apprendre et améliorer en permanence la connaissance du réseau, aller vers une hiérarchisation des contrôles, de la protection et de la remise en état du réseau. Cependant les technologies prédictives n’en sont encore qu’à leurs balbutiements et vont continuer à évoluer et à s’améliorer, pour permettre d’atteindre une nouvelle ère en matière de protection.
Faire progresser nos contrôles de sécurité ne va pas se faire du jour au lendemain. Cependant, la technologie et les fonctionnalités des solutions vont dans la bonne direction ; la mise en œuvre de contrôles dynamiques permettant d’améliorer la visibilité, la connaissance et de s’adapter rapidement. La qualité des futurs contrôles dépendra de la vitesse à laquelle nous évoluons, de nos modèles existants, des exigences de l’industrie et des infrastructures, ainsi que des ressources disponibles et de notre expérience. Mais une chose est certaine : nous bénéficiions tous d’une nouvelle ère qui est en train de révolutionner la manière dont nous nous protégeons des cyber-attaques.
________
Christophe Jolly est Directeur France Security Group Cisco