Tribune : Nous faisons face à une nouvelle ère de cybermenaces. Et il est possible – voire même probable – que la cybersécurité devienne de plus en plus compliquée dans les années à venir estime Samir Desai, de GTT Communications
a meilleure approche en matière de cybersécurité est, pour faire court : « partout, tout le temps. » Pour les entreprises, le défi est d’avoir une approche exhaustive, et des études indiquent que nous sommes à la traîne dans ce domaine, à des degrés divers :
- Parmi 500 organisations interrogées par Wakefield Research, 93% déclarent avoir subi une violation ou une compromission de données d’une manière ou d’une autre depuis la pandémie.
- 49% des organisations de cette même étude disent qu’elles n’étaient pas équipées pour faire face aux cybermenaces bien qu’elles s’y attendaient.
- 54% qu’elles passaient trop de temps sur des menaces de faible niveau, ce qui nuisait à leur réactivité globale en cas d’incident plus graves.
On pourrait dire qu’une telle étude ne porte que sur un petit échantillon… mais tout expert en cybersécurité vous dira que ces problèmes existent dans bien plus de 500 organisations. Il n’y a qu’à voir les gros titres des journaux : les attaques par ransomware sont très médiatisées lorsqu’elles ciblent des entreprises telles que Colonial Pipeline, JBS et Kaseya, qui ont toutes causé des dommages collatéraux à des centaines d’autres entreprises. Il est clair que nous avons besoin d’une solution robuste pour aller de l’avant, et les services managés de détection et de réponse (MDR) aux incidents – lorsqu’ils sont mises en œuvre avec des solutions réseau de pointe – peuvent remplir ce rôle.
Le monde a changé : la cybersécurité après COVID
La plupart, voire la totalité, des plus grosses cybermenaces que nous voyons actuellement -ransomware, violations massives de données, botnets, phishing, sabotage d’infrastructures par des tactiques de déni de service (DDoS) – étaient déjà présentes bien avant l’arrivée de la pandémie COVID-19, début 2020. Mais la crise a accentué leur urgence. Dans une certaine mesure, c’était inévitable. Les entreprises ont dû s’adapter rapidement au travail à distance pour des raisons de santé et de sécurité, ce qui a rendu le suivi de l’activité du réseau de plus en plus difficile pour les équipes de sécurité informatique.
Sur le plan du travail, l’accès distant a été très bénéfique pour de nombreuses organisations. Mais il a aussi ouvert une nouvelle surface d’attaque. Pour commencer, un nombre important d’entreprises n’avaient pas de politique uniforme en matière de sécurité des terminaux utilisés par les collaborateurs, et cette situation n’est qu’exacerbée par le « shadow IT » : les collaborateurs ont utilisé leurs ordinateurs et leurs téléphones personnels à des fins professionnelles, même si ce fut parfois occasionnel.
De toute façon, le fait de mettre ses applications dans le cloud – comme la plupart des entreprises actuellement – avait commencé bien avant l’explosion du télétravail. Gartner estime que les dépenses en matière de cloud pour les utilisateurs finaux atteindront 332,1 milliards de dollars d’ici à la fin de 2021, soit une augmentation de 23,1 %, mais garantit une croissance exponentielle encore plus importante au cours des prochaines années. Il prévoit également un risque accru, car les pirates informatiques ciblent de plus en plus le cloud. Le travail à distance exacerbe le phénomène en plaçant encore plus de trafic et de données dans le cloud, et comme 25 à 30 % des employés devraient travailler à distance dans un avenir proche selon les prévisions, ces problèmes ne feront que persister.
L’arrivée de nouvelles technologies, dans nos portables comme dans les réseaux, couplée à l’augmentation des besoins en bande passante pour supporter des opérations extrêmement pointues (et rendues encore plus compliquées avec les exigences de conformité et de reporting) fait que l’informatique doit suivre le rythme. Pendant que tout s’organise, les hackers en profitent pour attaquer, alors que les départements IT souffrent d’un manque de compétences difficile et long à combler, ce qui augmente encore plus le danger.
Nous voyons en temps réel les conséquences du manque de préparation à grande échelle en matière de sécurité, comme l’illustrent les attaques par ransomware qui ont fait la une des journaux. Il est presque certain que d’autres feront encore parler d’elles au cours de l’année 2021. Et l’augmentation exponentielle des attaques par ransomware de faible niveau est certes moins connue mais tout aussi inquiétante. Il n’est pas rare que les victimes estiment qu’il est plus simple de payer, ce qui ne fait qu’accroître les activités malveillantes.
Les services managés de détection et réponse aux incidents : mettre de la proactivité dans la sécurité
La combinaison d’outils de pointe pour la surveillance des menaces (et leur chasse) et d’un support permanent assuré par des experts en cybersécurité fait des services managés de détection et réponse aux incidents (Managed Detection and Response – MDR) la solution idéale contre les menaces actuelles. Elle décharge l’entreprise de la responsabilité de contrôler un système sophistiqué de détection et de réponse au niveau des terminaux (endpoint detection and response – EDR) et la confie à un fournisseur de services managés et à son équipe d’experts en sécurité.
La hiérarchisation des priorités est un autre atout parmi les plus importants des services managés de détection et réponse aux incidents. Comme évoqué précédemment, de nombreuses entreprises rencontrent des difficultés pour détecter au niveau des terminaux les alertes qui sont urgentes et celles qui peuvent être (du moins temporairement) ignorées. Tout système EDR, même celui qui est configuré pour une plus petite entreprise, reçoit des centaines d’alertes par jour. La rigueur qui permet de capturer autant d’alertes est précieuse, mais il est essentiel que les équipes de sécurité informatique ne s’engagent pas dans des voies sans issue pour des menaces mineures (déterminées par le profil de risque de l’entreprise).
Les services managés de détection et réponse aux incidents – basés sur des politiques de réponse établies par une entreprise avec son fournisseur pour répondre à ses besoins spécifiques en matière de sécurité – s’attaquent d’abord aux menaces et aux vulnérabilités les plus pressantes, afin d’y appliquer une réponse appropriée et proportionnelle. Le système analyse de près les circonstances entourant une alerte concernant une vulnérabilité ou une menace émergente. Il propose des mesures à prendre pour diminuer les risques que cela se reproduise. Il offre une protection proactive à une plus grande échelle dans l’organisation d’une entreprise, au-delà du périmètre qu’elle pourrait atteindre par elle-même – créant un retour sur investissement évident.
Les services MDR de détection et de réponses aux incidents à la carte sont particulièrement efficaces lorsqu’ils sont déployés avec le SD-WAN.