Face à des cybermenaces qui s’intensifient chaque jour un peu plus, les concepts de sécurité traditionnels arrivent peu à peu à leur point de rupture. Elargir sa stratégie de sécurité dans le cadre d’une approche plus globale et homogène de la cyberdéfense devient ainsi une nécessité. Et cette démarche doit s’appuyer sur quatre piliers : la prévention, la détection, la protection et l’intervention.
La cybercriminalité a pris une telle ampleur qu’elle place aujourd’hui de nombreuses entreprises au pied du mur. La physionomie de la menace a considérablement évolué : si l’infiltration des réseaux d’entreprise était autrefois le jeu de hackers en quête d’adrénaline, les vols de données ciblés ou autres actes de sabotage ultra perfectionnés sont aujourd’hui quotidiens. Et cela, sans parler des nouvelles technologies et exigences des entreprises qui n’ont fait qu’aggraver le dilemme de la sécurité…
Dans ce contexte, les trois composantes traditionnelles de la sécurité (voir ci-après) se révèlent insuffisantes ou inadaptées pour protéger efficacement les systèmes d’information et repousser les attaques ciblées. En effet :
– À elle seule, la protection du périmètre a atteint ses limites et n’est plus adaptée aux exigences d’un environnement professionnel de plus en plus interconnecté
– Face à la pluralité des modes de communications et des échanges entre les entreprises et leurs collaborateurs, fournisseurs, prestataires externes et clients, les solutions informatiques traditionnelles, jusqu’ici uniquement axées sur les restrictions d’accès, doivent s’élargir
– Côté clients, une défense antimalware uniquement basée sur les signatures est aujourd’hui insuffisante
La cyberdéfense pour résoudre le dilemme de la sécurité
La sécurité informatique doit être repensée autour d’une stratégie de cyberdéfense intégrale. La notion même de cyberdéfense représente un changement de paradigme dans la sécurité informatique. L’élargissement des concepts de sécurité traditionnelle, basés sur la protection du périmètre, est l’un des fondements d’une stratégie de cyberdéfense intégrale. Outre les mesures réactives, une solution de sécurité complète doit également comprendre une protection active. Le pare-feu réseau classique sera par conséquent complété par des mécanismes de sécurité proactifs englobant également les applications et les données, ainsi que tous les terminaux.
La cyberdéfense ne se résume pas uniquement à la somme de mesures de sécurité prises séparément, ni à une combinaison de solutions à des problématiques spécifiques comme les dispositifs anti-APT (Advanced Persistent Threats). Il s’agit davantage d’une démarche globale, basée sur des solutions couvrant l’ensemble du service de sécurité et assurant une gestion complète et cohérente des risques. La cyberdéfense dépasse la simple gestion des infrastructures et des technologies – ces dernières ne constituant généralement que la base de services étendus à plus forte valeur ajoutée.
La première étape d’une stratégie de cyberdéfense intégrale consiste à faire le bilan des risques en présence (Risk Insight). Chaque entreprise a son propre profil de risques qu’elle doit établir par une classification et une évaluation des risques pour les données et les processus à protéger. Ce profil de risques forme ensuite le socle d’une stratégie de cyberdéfense pérenne autour des quatre piliers que sont la prévention, la détection, la protection et l’intervention.
La prévention concerne les applications, les données et les terminaux
Côté entreprise, la prévention doit tout d’abord porter sur la gestion des infrastructures autour de dispositifs classiques comme la protection du périmètre via des passerelles de messagerie avec filtres antispam et antimalware, pare-feu de nouvelle génération, systèmes VPN et solutions d’analyse dynamique de type sandbox. Dans le cadre d’une approche intégrale, les applications métiers et les données doivent gagner en visibilité et en sécurité. Ceci passe notamment par des solutions de protection contre la fuite de données (DLP, Data Leakage Protection) ou de gestion des droits numériques (DRM, Digital Rights Management).
Pour ce qui est de la prévention, chaque terminal sous ses différentes formes (PC de bureau, ordinateur portable, tablette ou smartphone) doit désormais faire l’objet d’une attention renforcée. Au vu de leur exploitation croissante par les attaquants, ces périphériques doivent en effet occuper une place plus prépondérante dans tout projet de sécurité intégrale. Face aux difficultés d’une sécurité basée sur les signatures à détecter et la neutralisation des attaques ciblées, des solutions intelligentes de nouvelle génération doivent être mises en œuvre au niveau des terminaux. On doit donc s’attendre à une généralisation des micro-hyperviseurs capables d’isoler les applications pour améliorer la sécurité des terminaux. De même, une surveillance renforcée des terminaux permettra de détecter et d’évaluer en amont les comportements suspects et de bloquer toute prolifération.
La prévention ne doit pas non plus négliger les grandes tendances actuelles comme le cloud, l’Internet des objets ou encore l’interconnexion croissante entre les systèmes d’information et les unités de production, systèmes de contrôle industriel et autres SCADA.
Un projet de cyberdéfense intégrale doit également intégrer le facteur humain. La sensibilisation et la formation des collaborateurs jouent en effet un rôle clé dans toute stratégie de cyberdéfense préventive, évitant par là-même que l’humain ne devienne le maillon faible.
Les systèmes de détection précoce sont incontournables
L’étape suivante est la détection : une analyse de sécurité complète effectuée sur la base de données en temps réel associée à une surveillance proactive. Pour être efficace, la surveillance ne se limite pas aux seuls journaux et alertes système. Elle doit également analyser le comportement habituel de l’environnement informatique afin de déceler toute anomalie. C’est notamment le cas lorsque des systèmes qui n’avaient jusqu’à présent jamais communiqué entre eux échangent tout à coup d’importants volumes de données ou encore lorsque des systèmes internes jusqu’ici « silencieux » communiquent soudainement avec des systèmes externes.
Grâce à leur capacité à détecter les menaces en amont, les systèmes de détection précoce constituent l’un des éléments incontournables d’une solution de sécurité intégrale. Or, les systèmes implémentés dans les entreprises sont souvent trop lents. De plus, une entreprise ne peut manifestement pas s’atteler seule à la mise en œuvre d’une protection complète contre les cyberattaques. Les menaces sont effectivement trop hétérogènes et virulentes, et les coûts beaucoup trop élevés. Sans parler du fait qu’il n’est en général pas viable économiquement et stratégiquement pour une entreprise de faire de la sécurité son cœur de métier.
C’est là que les Centres d’Opérations de Sécurité (SOC) externes entrent en jeu. Véritables centres de défense proactifs au service des entreprises, ils associent technologies et expertise technique pour détecter les attaques en amont. En clair, leurs outils intelligents effectuent une analyse permanente du trafic de données et établissent des corrélations entre des informations extrêmement diverses, le tout étant validé en bout de chaîne par des analystes chevronnés.
Le SOC d’un fournisseur de services de sécurité managée vous offrira un champ de vision élargi pour identifier et isoler les menaces en amont. Cependant, pour être efficace, ce type de structure doit disposer d’une base de données mondiale valide pour opérer une surveillance proactive. Seul un système de cyberveille mondiale (Threat Intelligence) offre la fiabilité nécessaire à la mise en place d’une protection complète contre les dernières menaces les plus critiques. Contrairement aux acteurs nationaux de la sécurité managée, un prestataire d’envergure internationale est capable de surveiller et d’analyser les messages et les incidents sur les infrastructures informatiques hétérogènes de milliers de clients. Cette base de données lui permet ensuite d’effectuer une analyse en temps réel des menaces, passage obligé vers des solutions de cyberdéfense efficaces.
Une stratégie d’intervention sur incidents est indispensable
Une chose à retenir : le 100% sécurité n’existe pas. Les entreprises doivent donc bien se préparer aux situations d’urgence, c’est-à-dire à réagir lorsque les incidents surviennent. Il faut accepter cette situation, ce qui est encore loin d’être le cas. En effet, d’après le dernier rapport NTT Com Security « Security Global Threat Intelligence Report » sur le paysage de la sécurité dans le monde, les trois quarts des entreprises ne sont pas prêtes à faire face à ces incidents. Or, une sécurité informatique forte passe aussi par une stratégie d’intervention sur incidents. La procédure d’urgence devra donc être définie puis appliquée en cas d’attaque pour bloquer toute exfiltration de données. Ici aussi, l’accompagnement de professionnels chevronnés pourra faire toute la différence lors de la constitution et de la préparation des équipes d’intervention.
La stratégie de cyberdéfense doit être mise en place progressivement à partir du profil de risques établi. Point important : dans une démarche de défense intégrale, la surveillance et la protection des terminaux sont à considérer comme des facteurs clés. La défense proactive et la détection précoce des menaces s’appuieront en outre sur des technologies et une expertise pointue. Un plan d’intervention sur incidents devra également être défini. Aujourd’hui, seule une approche intégrale de ce type peut permettre à une entreprise de protéger au maximum son information et ses systèmes IT.
__________
Pierre-Yves Popihn est Directeur Technique de NTT Com Security France