La cyber sécurité n’est plus reléguée à la rubrique technique des journaux et sites web – elle s’offre la première page. Il s’agit même d’un sujet abordé dans le cadre des primaires américaines. Elle est associée aux pannes de courant nationales. De nos jours, la cyber sécurité concerne tous les secteurs, pays et autres espaces sociaux importants.

Étant donné l’ampleur de son domaine d’application, la cyber sécurité est un enjeu majeur pour nombre d’entreprises. Elle concerne à la fois le fonctionnement interne des services informatiques et les clients des entreprises. Ayant promis à ses clients le respect de la confidentialité et de la vie privée, une société soudain victime d’un piratage prend douloureusement conscience que la cyber sécurité n’est pas une simple question d’ordinateur. C’est une leçon qu’Ashley Madison et ses clients ont apprise à rude école.

Les hommes politiques sont eux aussi concernés.

En raison du nombre croissant de violations de données et de l’attention grandissante qui leur est portée, les gouvernements du monde entier augmentent le niveau des règles de conformité (même si certaines de leurs idées, comme la demande de portes dérobées dans le chiffrement, ne font pas l’objet de réflexions approfondies). Plus que jamais, c’est aux entreprises que revient la responsabilité de ces préoccupations en matière de cyber sécurité. Ce sont elles également qui doivent rendre des comptes si elles ne se montrent pas à la hauteur de ces responsabilités.

Sans aucun doute, la cyber sécurité est une expression lourde de sens. Si vous vous demandez pourquoi, alors vous vous posez la bonne question. Si la cyber sécurité s’inscrit dans le champ opératoire des entreprises, comment doit-elle être abordée ? En quoi diffère-t-elle de la sécurité informatique traditionnelle ?

Faut-il partir de zéro ?

D’aucuns considèrent la cyber sécurité comme un changement fondamental dans la façon dont les entreprises se protègent et concluent, à la hâte, que les concepts traditionnels de sécurité informatique doivent être mis au rebut. Tout récemment, dans le secteur de la sécurité, on a pu lire les gros titres annonçant « la mort de l’antivirus ».

Ce n’est pas la première fois que l’antivirus passe à la rubrique nécrologique avant l’heure. Tout comme le disque vinyle reste le support de la grande musique, l’antivirus demeure un élément important de toute stratégie globale de sécurité.

Les menaces et la sécurité évoluant, l’antivirus n’est plus une simple affaire de signatures

Les mesures de sécurité mises au point il y a 20 ans ne seront probablement plus suffisantes pour protéger les entreprises des éléments malveillants actuels. Mais les menaces ne changent pas du jour au lendemain. Elles évoluent au fil du temps. C’est aussi le propre des solutions de sécurité. Les nouvelles fonctions de protection associées à l’analyse antivirus traditionnelle basée sur la reconnaissance de signatures ont créé des piles de protection intégrée avec des composants multiples.

Au sein de cette pile, l’analyse antivirus est toujours efficace. Par rapport à l’analyse heuristique sophistiquée, il s’agit d’une méthode de détection de logiciels malveillants plus conviviale. Pourquoi gaspiller la bande passante de l’unité centrale sur des échantillons qui peuvent être détectés avec des méthodes plus simples ? Voilà pourquoi, pour les véritables experts en sécurité informatique, l’affirmation selon laquelle l’antivirus est mort est une « hyperbole malavisée ».

« En 2008, F-Secure a doté sa technologie antivirus traditionnelle de DeepGuard, un moteur heuristique sophistiqué capable de détecter les attaques de type “Zero-Day”. Le protocole du service de vérification de la réputation de F-Secure (Object Reputation Service Platform, ORSP) – un élément désormais essentiel de F-Secure Security Cloud – a été inclus dans les produits F-Secure pour la première fois en 2009 et a réduit le temps avant protection contre les menaces récemment découvertes de plusieurs heures à quelques minutes. En parallèle, l’analyse antivirus traditionnelle basée sur la reconnaissance de signatures nous permet d’optimiser la consommation du processeur. La classification d’un échantillon par signature représente environ 10 millisecondes de temps CPU. Le recours à une analyse lourde peut prendre jusqu’à 5 minutes. »
Jarno Niemelä – Senior Researcher – F-Secure Labs

Un changement radical est en train de se produire

En dépit du progrès technologique, les besoins actuels des entreprises en matière de sécurité sont fondamentalement différents de l’approche qu’elles avaient il y a 5 ans. À cela plusieurs raisons. Deux tendances, en particulier, sont à l’origine de la nouvelle conception de la cyber sécurité pour les entreprises.

Premièrement, la numérisation croissante des processus et des activités se produit à un rythme sans précédent. Un incident de cyber sécurité n’est pas un simple événement se traduisant par quelques heures supplémentaires de travail pour le service informatique d’une entreprise. Aujourd’hui, l’informatique est souvent le moteur des activités de l’entreprise tout au long de la chaîne de valeur, et un simple incident peut entraîner l’arrêt de l’activité et menacer l’existence même de l’entreprise.

Deuxièmement, les menaces prennent de l’ampleur, à la fois en nombre et en complexité. L’année 2014 a été la 8année consécutive au cours de laquelle la quantité de logiciels malveillants détectés a doublé, soit une moyenne de 81 attaques par minute. On s’attend à ce que le nombre de logiciels malveillants double encore en 2015. Dans le même temps, ces dernières années, les logiciels malveillants ont atteint un niveau de sophistication inégalé. L’une des raisons de ce phénomène est l’émergence d’États-nations utilisant les cyberattaques, qui investissent des ressources considérables dans la recherche et l’exploitation des failles de la cyber sécurité des personnes et des sociétés. On estime le coût de développement du logiciel malveillant Duqu 2.0, utilisé afin de compromettre un fournisseur de sécurité (en plus d’autres cibles), à près de 10 millions de dollars (environ 9 millions d’euros). Les criminels réutilisant souvent les codes malveillants provenant des attaques d’États-nations, les entreprises sont obligées de tenir compte de cette tendance qui augmente la complexité globale des menaces en ligne. (À cet égard, les tentatives de gouvernements visant à affaiblir le mécanisme de sécurité tel que le chiffrement dans le cadre de leurs efforts de surveillance rendent la situation encore plus délicate.)

Étant donné que les incidents de cyber sécurité coûtent cher et que les menaces sont plus nombreuses et sophistiquées que jamais, il est clair que la cyber sécurité mérite une plus grande attention : un simple renouvellement annuel de la solution de sécurité des postes de travail ne suffit plus. La cyber sécurité doit figurer dans l’ordre du jour du conseil d’administration.

La cyber sécurité, un processus en 4 étapes

Chez F-Secure, notre vision de la cyber sécurité s’appuie sur des concepts utilisés dans l’architecture de sécurité adaptative de Gartner. En un mot, notre conception repose sur la notion selon laquelle la dépendance de votre entreprise par rapport aux technologies de l’information et la possible paralysie entraînée par un incident de sécurité doivent vous amener à considérer la cyber sécurité comme une question de gestion des risques qui mérite toute l’attention de votre équipe de direction. Ainsi, la cyber sécurité n’est pas seulement une question technique, elle s’inscrit véritablement dans un processus. En nous appuyant sur le cycle de Gartner, nous distinguons un processus en 4 étapes, chacune pouvant et devant être prise en charge par la technologie.

Capture

1. ANTICIPER : connaître les risques encourus, comprendre la surface d’attaque, découvrir les failles

Afin de prendre les mesures de sécurité appropriées, vous devez savoir où porter votre attention. Il est utile de commencer par évaluer les adversaires potentiels (cybercriminels, concurrents, hacktivistes, terroristes, etc.), ainsi que les dommages qu’un compromis en matière de sécurité pourrait entraîner – une analyse des risques en quelque sorte.

Si cette analyse requiert une vision complète de la surface d’attaque, il n’est pas aisé de l’obtenir. Beaucoup d’entreprises ne connaissent pas leur empreinte numérique et ne sont donc pas conscientes des éventuels points d’entrée offerts aux criminels et autres menaces. En outre, le développement des systèmes informatiques est enraciné dans bon nombre d’entreprises, ce qui se traduit par des enchevêtrements de systèmes, une infrastructure externalisée et des tiers numériquement connectés et intégrés aux processus métier.

Il est virtuellement impossible de contrôler un tel amas avec rigueur. En dépit de l’existence de solutions techniques assurant la visibilité requise, une simple cartographie de votre empreinte numérique ne suffit pas. Il est nécessaire de réaliser une analyse des vulnérabilités pour détecter les failles. Une telle analyse débouchera sur des pistes de réflexion qui alimentent l’étape suivante du processus de cyber sécurité.

2. PRÉVENIR : réduire la surface d’attaque, éviter les incidents

La connaissance des risques et failles permet de prendre toutes les mesures possibles pour réduire la surface d’attaque. Si les solutions sont légion, il est néanmoins nécessaire de tenir compte des contraintes limitant votre rayon d’action, le budget et les ressources étant les plus courantes. Pour limiter les failles, concentrez-vous par exemple sur le renforcement du système, la configuration des pare-feu et l’élimination ciblée des vulnérabilités (au sein de vos programmes et des logiciels tiers). C’est au cours de cette phase du processus qu’interviennent les solutions établies de sécurité des terminaux. Ces solutions empêchent les victimes potentielles de se trouver en contact avec des logiciels malveillants. Même dans le cas où un code malveillant parvient jusqu’à l’environnement cible, ces solutions filtrent la plupart des millions de logiciels malveillants. Ces couches de protection sont fournies par des approches modernes, telles que les mécanismes d’analyse et de contrôle de réputation, par exemple le contrôle d’applications ou d’accès au web, mais aussi par des analyses antivirus traditionnelles.

Le patch management automatisé restreint davantage votre exposition aux risques et garantit que les failles récemment détectées soient corrigées au moment opportun, ce qui réduit significativement la fenêtre temporelle propice aux attaques réussies. Une autre mesure préventive, souvent négligée, consiste à améliorer la culture de la sécurité au sein de l’entreprise. Après tout, le maillon le plus faible de toute stratégie de sécurité est l’être humain, et des études récentes confirment que ce maillon faible est la cause la plus fréquemment citée en matière d’incidents de sécurité.

3. DÉTECTER : identifier les incidents et les menaces, les isoler et les circonscrire

Le logiciel malveillant Duqu 2.0, mentionné précédemment, exploitait 3 failles qui étaient inconnues jusqu’alors et appelées menaces de type « Zero-Day ». Il était pratiquement impossible de mettre en place des solutions de sécurité pour le neutraliser, car il disposait de techniques d’évasion sophistiquées. Il faut se rendre à l’évidence : avec un tel logiciel malveillant et les milliers de nouvelles méthodes d’attaque qui voient le jour quotidiennement, tôt ou tard, vos défenses seront percées. Le pire scénario serait de faire l’objet d’une attaque à votre insu. Plus la durée de l’attaque est longue, plus les dégâts causés sont graves, car les agresseurs disposeront de plus de temps pour faire des mouvements latéraux dans votre environnement et voler vos données. À l’heure actuelle, la réalité est que, en cas de violation de la sécurité, les entreprises ne détectent la faille que des mois (et non des jours) plus tard.

Afin de réduire ce que l’on appelle le temps de résidence, il est nécessaire de mettre en place des solutions et processus permettant d’identifier les nouvelles menaces. Cela nécessite un certain nombre de dispositions, notamment de veiller à ce que la protection des postes de travail ne fonctionne pas simplement dans le mode classique « antidote » (correspondance de signatures), mais qu’elle dispose également d’une détection heuristique bloquant et isolant tout comportement suspect dans vos terminaux. Vous aurez également besoin d’une solution de surveillance qui vous avertit de tout danger potentiel survenant dans votre environnement. Outre l’introduction de ces composants technologiques, vous devez instaurer, au sein de vos équipes, une routine de surveillance permanente et des évaluations de l’état de la sécurité. Vous serez alors en mesure de réagir rapidement en cas d’incident, ce qui nous amène à la dernière étape du processus.

4. RÉAGIR : réagir aux violations, atténuer les dommages, analyser et tirer les leçons

Comme le montrent les affaires retentissantes comme le piratage des données de Sony, les entreprises sont souvent mal préparées à faire face aux incidents de sécurité. Si vous considérez la cyber sécurité sous l’angle de la gestion des risques, vous devez vous assurer qu’il existe un plan de continuité de l’activité pour ce type de situation. Nombre d’incidents ne peuvent être gérés par les ressources internes des entreprises, c’est pourquoi vous devez vous appuyer sur les services de partenaires spécialisés prêts à intervenir en cas de catastrophe. Il est essentiel d’agir vite ; après avoir détecté la violation, il est souvent difficile de connaître l’ampleur de l’intrusion et de savoir si toutes les traces de la faille ont bien été éliminées. Pour rétablir la confiance dans vos systèmes, il vous faudra recourir à l’expertise informatique et à des outils spécialisés. Même lorsque tout sera parfaitement rétabli, il sera capital de comprendre les tenants et les aboutissants dans le détail. C’est ainsi que s’achève le cycle vous aidant à découvrir les nouvelles failles, ce qui vous permet de renforcer vos systèmes de défense et d’améliorer votre position en matière de sécurité.

En résumé

La protection n’est jamais garantie à 100 %. En revanche, il est essentiel de parer à toute éventualité. Aussi, renforcez votre sécurité pour réduire les risques, en partant du principe que vous finirez par être touché de plein fouet. Une telle approche vous permettra de gérer les situations de crise avec professionnalisme.

« Il existe 2 types d’entreprises : celles qui ont subi une violation de leur sécurité, et celles qui ne le savent pas encore. » Jens Tonke, Vice-président exécutif des Services de cyber sécurité, F-Secure

Jens Tonke, Executive VP Cyber Security Services, F-Secure

2 commentaires sur “La cyber sécurité n’est pas une solution, mais un processus

  1. Ping : Cyber défense – Le jeu du Chat et la Souris | Le Blog de F-Secure

  2. Ping : Pourquoi envisager un service de sécurité géré plutôt qu’un SIEM ? | Visions et Sécurité IT par F-Secure

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s