La question de la cybersécurité est de plus en plus complexe aujourd’hui : l’émergence de nouvelles technologies changent la donne, les besoins des entreprises évoluent, la surface d’attaque ne cesse de s’étendre ; enfin toujours plus d’éditeurs, de consultants et d’experts y vont de leurs conseils, parfois trop succincts, pour expliquer comment gagner la guerre contre les acteurs des cybermenaces. Malheureusement si beaucoup d’initiatives, visant à rendre les entreprises plus sûres, sont efficaces, de nombreux principes risquent d’anéantir les efforts déployés par les RSSI pour sécuriser leurs entreprises, parmi lesquels :
- Les outils de sécurité Windows sont suffisants pour sécuriser les postes de travail Microsoft
Microsoft jouit d’une position unique en tant qu’éditeur de systèmes d’exploitation et éditeur de logiciels de sécurité. Pourtant, 2021 a été une année noire pour l’entreprise en termes de vulnérabilités, exploits et failles. Microsoft Defender n’a guère brillé par son efficacité pour faire obstacle aux ransomwares. Il a même été découvert que l’éditeur intégrait depuis plus de 12 ans une vulnérabilité favorisant l’élévation de privilèges. Les événements récents laissent supposer que les RSSI qui s’en remettent à un éditeur de systèmes d’exploitation pour remporter la bataille contre les rançongiciels partent perdants.
- Les ordinateurs Mac sont sécurisés dès leur conception
Apple n’a eu de cesse de présenter la sécurité de macOS comme un argument de vente différenciant. Pourtant, la marque a admis en début d’année un problème de ransomwares sous macOS. La sécurité intégrée sur Mac repose essentiellement sur la signature de code, les contrôles de révocation de certificats et les signatures de fichiers mais que les hackers court-circuitent relativement facilement. Par ailleurs, les contrôles de sécurité intégrés au Mac n’offrent aucune visibilité aux utilisateurs ou aux administrateurs.
- La prévention est impossible et la détection suffit
Les éditeurs de logiciels antivirus traditionnels, cherchant à excuser les carences de leurs suites antivirales et solutions EPP, affirment que la prévention est impossible, et que la détection post-infection et la mise en quarantaine représentent l’unique objectif réaliste. C’est oublier que le machine learning et l’IA sont à notre disposition depuis quelques années. Les éditeurs qui s’appuient exclusivement sur la détection par signatures devraient compléter ou remplacer leurs moteurs de détection par des moteurs d’IA statiques capables de bloquer la plupart des fichiers PE (Portable Executable) malveillants. Mais surtout, les RSSI devraient écarter les éditeurs qui leur affirment que la prévention est impossible.
- Le modèle « Zero Trust » est réalisable dans la plupart des entreprises
Si l’adoption du modèle de sécurité « Zero Trust » semble être la direction à suivre pour réduire la surface d’attaque, dans la réalité il est extrêmement compliqué et long de mettre en œuvre une architecture Zero Trust (ZTA) exhaustive, avec de multiples ressources et systèmes de sécurité. Passer d’un modèle de sécurité périmétrique traditionnel à un modèle ZTA prend plusieurs années, alors que les attaques visant l’entreprise surviennent quotidiennement. Comme nombre de développements liés à la sécurité, l’architecture ZTA est riche de promesses, mais est loin d’être une panacée. Les RSSI doivent se méfier des éditeurs qui leur présentent ce modèle comme un remède miracle capable de régler tous leurs incidents de sécurité.
- La sécurité des appareils mobiles est en option
Certains éditeurs (et spécialistes de la sécurité) n’ont toujours pas pris conscience de la réalité du phénomène des appareils mobiles dans l’entreprise bien qu’il soit possible de consulter ses courriels professionnels et d’accéder à des données B2B sur des appareils mobiles depuis plusieurs années. Dans un contexte où des cybercriminels attirés par le profit sont capables d’investir très fortement pour compromettre des appareils mobiles, quelle entreprise ayant une propriété intellectuelle à défendre et des données clients à protéger (et des sanctions administratives à éviter) peut prétendre que la sécurité des appareils mobiles est facultative ? Les attaques sur mobiles sont bien réelles et les RSSI doivent appliquer des mesures de protection contre les menaces mobiles pour avoir une visibilité exhaustive des actions et comportements des utilisateurs et des appareils.
- Les sauvegardes sont une protection contre les ransomwares
Le monde de la sécurité informatique évolue très vite. Suite aux cyberattaques NotPetya et WannaCry en 2017, les entreprises ont pris conscience qu’en l’absence de sauvegardes, elles s’exposaient à être la cible de ransomwares. Les entreprises et les assaillants ont bien retenu la leçon et en 2019, les premiers groupes cybercriminels de ransomwares – Maze et DoppelPaymer – se sont rabattus sur la méthode de la double extorsion : le blocage d’accès à des fichiers par chiffrement, couplé à la menace de fuites de données publiques. Les sauvegardes n’ont pas permis aux entreprises, se souciant de la confidentialité des données, de s’en sortir. Malgré tout, certaines d’entre elles ont été prêtes à tenter le coup, à risquer une fuite de données, à repartir de leurs sauvegardes et à refuser de payer ces cybercriminels. Malheureusement, leur résistance n’a eu pour effet que de faire monter les enchères via la triple extorsion : outre les menaces de fuite de données et de chiffrement de fichiers, ces pirates se sont mis à inonder leurs victimes d’attaques DDoS afin de les obliger à revenir à la table des négociations.
La leçon à tirer pour les RSSI est la suivante : les opérateurs de ransomwares sont riches du butin dérobé à leurs précédentes victimes. Ils ont les moyens d’acquérir des botnets à grande échelle et de bombarder le réseau d’attaques DDoS jusqu’à ce que les entreprises paient. Les sauvegardes ne servent à rien dans ce paysage de menaces peuplé de ransomwares avec double, voire triple extorsion. Le plus important est de prévenir les compromissions.
- L’homme est inutile si l’automatisation prend le relais
La pénurie de qualifications en cybersécurité est réelle. Pour autant, si l’automatisation permet de contribuer efficacement à la productivité et à l’efficacité, elle ne remplacera jamais la composante humaine dans l’équation de la cybersécurité. Il n’y a pas de solution miracle permettant de cerner les risques pour l’entreprise ou de quantifier les moyens d’assurer la sécurité, il faudra toujours un humain capable d’innover, d’évaluer et de combler ces lacunes.
Si l’homme a besoin de la technologie pour intervenir à grande échelle, optimiser sa productivité, se débarrasser des tâches chronophages et se concentrer sur les aspects les plus critiques, il sera toujours incontournable de pouvoir s’appuyer sur des experts capables de gérer, d’interagir et de trier toutes les attaques malveillantes que continueront d’envoyer les assaillants (dotés de leurs propres outils d’automatisation) aux entreprises.
- Le MDR (et ses solutions managées de détection et de réponse) suffit à assurer la sécurité
L’automatisation ne remplacera jamais un analyste humain, la réciproque est également vraie : l’homme ne sera jamais capable de détecter, de répondre et de remédier à des attaques identifiables aussi rapidement qu’un ordinateur. Il est essentiel d’exploiter les ressources humaines et informatiques en fonction des tâches qui leur conviennent le mieux. L’homme excelle sur les scénarios atypiques, les inconnues et les faux positifs, mais une IA embarquée constamment en éveil, cadencée à la vitesse du processeur, terrassera bien plus vite les assaillants qu’un analyste MDR dans le cloud. Si le MDR garantit une valeur ajoutée à un agent de protection des endpoints s’appuyant sur une IA de nouvelle génération, il ne remplace pas une protection autonome.
Force est de constater que la cybersécurité est une discipline complexe, dont il convient de maîtriser les fondamentaux. Réduire sa dépendance envers les éditeurs de systèmes d’exploitation, déployer une protection embarquée sur les postes de travail offrant une visibilité sur l’ensemble du parc et conserver les talents en cybersécurité, sont la base pour tout RSSI. Il est également essentiel de se méfier des idées fausses et autres poncifs qui circulent régulièrement.